是否有可能在HTTP摘要中出现无状态服务器

Question

在实现HTTP服务器时，存在非When的问题。

服务器非client (与客户端不client相反)

• 必须由服务器发出。
• 只要服务器允许，客户端就可以重用它。
• 不知道什么用户以后会使用现在这个

天真的实现是记住内存中所有已发出的非list，但这会引入状态:客户端需要与同一服务器对话，或者服务器需要共享有效的非list列表，这将成为一个可伸缩性问题。

我的问题是:是否有可能提供安全和无状态的非and？我相信是这样，并希望它得到验证：

使nonce成为来自服务器

的加密签名消息。

1. 过期时间戳(例如，未来的86400秒)
2. 一个随机数(也许？)
3. 一种密码签名(可能是sha或hmac？)

所有这些都可以在401 Www验证头中提供的nonce中捆绑在一起。当任何服务器看到这一点时，他们都可以验证消息的完整性(通过重新计算签名)。然后可以检查时间戳，如果是的话，则现在是好的。

• 这种技术在其他地方被描述过吗？
• 这种提供非诚勿扰的方式是否辜负了非诚勿扰的目的？
• 还有其他方式提供无状态HTTP摘要身份验证吗？

Answer 1

如果服务器是无状态的，则可以重播客户端发送到“获得身份验证”的内容。攻击者只需窃听客户端的请求，然后只需复制相应的标头即可发送自己的请求。终止日期阻止攻击者无限期地执行此操作，但即使攻击者只能在一天内破坏您的服务器，这仍然不能令人满意。重播攻击的可能性与无国籍状态是同等重要的；这是不可避免的。

而HTTP摘要无论如何也不是一个很好的协议。HTTP只在攻击者可以监视交换数据的模型中确保安全服务，但不更改它；这不是一个非常现实的模型。在实践中，您需要更彻底的内容，比如SSL，此时您可以按原样发送密码(HTTP )并忘记HTTP。