为 API 身份验证添加 UTC 时间戳是个好主意吗
Is it a good idea to add UTC timestamp for API authentication
我看过很多网站,比如
Amazon : (http://docs.aws.amazon.com/AmazonS3/latest/dev/RESTAuthentication.html) 将 UTC 时间戳 ("seconds since epoch") 添加到 HMAC 以阻止重放攻击。
许多身份验证教程和论坛,如 How to securely maintain user authentication through a third party API? 也建议这样做。
我只有一个担心,当移动应用程序与 API 通信时,它会导致问题吗?我已经检查过,当与 API 的网络 PHP.
Amazon S3 的想法是:
- 他们的 API 将创建一个带有时间戳
的 link
- 亚马逊分别存储这个时间戳和请求
- 你会用到那个link
- 亚马逊将检查给定请求是否未过期
对于作为用户的您来说,时间戳只是一个提供信息的字符,您可以用它做任何您想做的事,这根本不重要。亚马逊将存储的时间戳与亚马逊的服务器时间进行比较...
我看过很多网站,比如
Amazon : (http://docs.aws.amazon.com/AmazonS3/latest/dev/RESTAuthentication.html) 将 UTC 时间戳 ("seconds since epoch") 添加到 HMAC 以阻止重放攻击。
许多身份验证教程和论坛,如 How to securely maintain user authentication through a third party API? 也建议这样做。
我只有一个担心,当移动应用程序与 API 通信时,它会导致问题吗?我已经检查过,当与 API 的网络 PHP.
Amazon S3 的想法是:
- 他们的 API 将创建一个带有时间戳 的 link
- 亚马逊分别存储这个时间戳和请求
- 你会用到那个link
- 亚马逊将检查给定请求是否未过期
对于作为用户的您来说,时间戳只是一个提供信息的字符,您可以用它做任何您想做的事,这根本不重要。亚马逊将存储的时间戳与亚马逊的服务器时间进行比较...