如果http的认证证书摘要是不变的,就存在被第三方截获http请求中的证书摘要后重放给服务的危险。解决办法是服务器发给客户端的401响应中带上一个随机数salt,这个salt必须保持一定的新鲜度,例如每个salt可以重用5次或者10秒,当然你也可以追求绝对的安全,从而每次都要使用一个新的salt,但这样性能未必达标,总之,要在性能和安全之间做好权衡。
http证书摘要防重放
最新推荐文章于 2024-05-09 21:31:29 发布
如果http的认证证书摘要是不变的,就存在被第三方截获http请求中的证书摘要后重放给服务的危险。解决办法是服务器发给客户端的401响应中带上一个随机数salt,这个salt必须保持一定的新鲜度,例如每个salt可以重用5次或者10秒,当然你也可以追求绝对的安全,从而每次都要使用一个新的salt,但这样性能未必达标,总之,要在性能和安全之间做好权衡。