hMAC认证中的时间戳

Question

作为restful服务器，我们为客户端提供了一个客户端和密码。我认为客户机使用clientid +hMAC(由密码进行散列)进行身份验证就足够了。

我查阅了一些建议使用时间戳或更多信息用于基字符串的文档。我只是不明白那是什么意思。

有什么专家能解释一下时间戳对预防攻击或其他任何事情有什么帮助吗？

Answer 1

问题是，没有时间戳，任何签名的消息都是永久有效的。如果攻击者设法捕获了一条消息，他们可以无限地重放它，即使不泄露用于签名的秘密。

如果添加时间戳，则消息将在短时间内过期，并防止此情况发生。您将选择在服务器应用程序中遵守时间戳的时间。当您记住考虑“未来”时间时，因为客户端的单击可能略早于您，并在将来出现在您的应用程序中。