摘要身份验证如何防止重放攻击？

Question

我在 stackoverflow 上发现了很多问题，其中提到了摘要身份验证。我找不到摘要身份验证如何防止重放攻击？我使用 fiddler 工具拦截对服务器的 http 请求。我使用相同的工具向服务器重放请求，但服务器要求进行身份验证。

我需要准确了解如何实现防止重放攻击。服务器如何能够检测到任何 http 请求的重放？

任何链接/资源将不胜感激。

Answer 1

摘要式身份验证通过使用服务器指定的nonce来防止重放攻击。当客户端尝试发出未经身份验证的请求时，服务器会生成随机数，客户端必须将该随机数合并到其响应中。由服务器来管理有效的随机数，并在使用它们时使它们无效，以防止重播。