Apiセキュリティoauth：oauth2はnonceとタイムスタンプを使用していますか？

Question

AWSは、HMAC認証を使用してAPIを安全にします。 HMAC認証では、nonceとtimestampを使用して、再生攻撃からapiを保護します。

oauth2プロトコルに関する多くのドキュメントを読んでいますが、oauth2が再生攻撃を防ぐためにnonceとtimestampを使用しているという記事は見つかりませんでした。

私の質問は、oauth2がノンスとタイムスタンプを使用していない場合、どのようにしてリプレイ攻撃を防ぎますか？

おかげで、

のSanjay Salunkhe

Answer 1

OAuth 2.0のトークン/メッセージは、このように再生することができない攻撃者によって傍受することができないことを意味し、機密性のためにTLSに依存しています。スペックは、セクション10.3、https://tools.ietf.org/html/rfc6749#section-10.3に言うように：

アクセストークンの資格情報（ならびに任意の機密アクセストークン
属性）が輸送および保管中に秘密にしなければならない、と
のみ認証サーバ間で共有、リソースサーバー
アクセストークンが有効であり、アクセストークンが であるクライアントが発行されます。アクセストークンクレデンシャルは、サーバー認証が
[RFC2818]で定義されているセクション1.6で説明したように、TLS
を使用してのみ送信する必要があります。