解决方案:
a. 基于timestamp防止重放攻击
每次 http 请求时,都添加timestamp时间戳的参数,服务端接收到请求时,解析 timestamp值,并与当前时间进行比较,判断是否超过60s,
如果超过60s则丢弃该请求。
b.基于nonce值得防重放攻击
每次http请求时,都添加一个固定长度的随机数或请求ip加随机数进行hash生成的字符串,服务端在接受到请求的时候,解析请求的nonce值,并将nonce值存于数据库或缓存中,
当请求时,判断数据库或缓存中是否存在该nonce值,如果存在则丢弃该请求。此时,使用nonce值,在http请求时,nonce值可以保证请求的唯一性。
c .基于timstamp和nonce值防止重放攻击
单纯基于 timestamp进行防重放攻击也会存在风险,如果请求被中间人或是黑客获取,且请求的时间戳与当前时间比较时,仍小于60s时,此时则
不能进行防重放攻击。
