utilisation de nonce dans l'authentification

À digérer l'authentification basée sur les, nonce généré par le serveur. Toutefois, dans OAuth l'authentification basée sur les, nonce généré par client. Je veux savoir si quelqu'un sait la raison de la différence?

source d'informationauteur user496949

  1. 26

    Nonces sont utilisés pour faire une demande unique. Dans un schéma d'authentification sans un nonce, un client malveillant pourrait générer une demande une FOIS et de les relire de NOMBREUSES fois, même si le calcul est coûteux. Si le schéma d'authentification, le client devra effectuer le calcul coûteux pour chaque demande, la demande est unique à l'aide d'un nonce, la relecture d'attaque est plié, sa vitesse juste passé de O(1) O(N).

    La raison d'avoir un client nonce est pour empêcher les clients de faire le rejeu.

    La raison d'avoir un serveur pour l'instant est d'empêcher un Man-in-the-Middle attaques, dans le cas où un attaquant capture valide la réponse du serveur, et tente de rejouer à un client.

    http://en.wikipedia.org/wiki/Cryptographic_nonce a une belle explication et de schéma pour savoir comment utiliser un nonce.

    http://en.wikipedia.org/wiki/Digest_access_authentication a un bel exemple de la façon dont nonces sont utilisées dans le monde réel.

  2. 1

    Tout d'abord, parfois, les clients ne fournir un nonce à digérer auth, mais surtout il s'appuie sur le serveur (voir RFC2617)

    Deuxièmement, parce que si vous pensez à la procédure d'authentification, en termes d'une poignée de main, puis avec Oauth lorsque vous avez déjà un jeton que vous avez été à travers la moitié de la poignée de main, vous en avez déjà parlé avec le serveur, de sorte que votre prochaine étape est de contacter le serveur avec votre demande de service. Ce doit être protégée par un nonce aussi, si vous le fournir.

    Ou l'inverse. J'ai déjà le jeton, alors pourquoi aurais-je contacter le serveur pour obtenir un nonce, de sorte que je ne puis communiquer avec le serveur à nouveau avec ma demande de service? Je pourrais prendre une 1000 demandes de service, par la production de mes propres nonces elle coupe vers le bas sur 2000 bits de trafic réseau qui ont été inutiles.