Im APIを使用しています。 apiはiphoneアプリケーションで使用されます。リプレイ攻撃からAPIを保護する
apiにログインする必要があります。私たちはasp.netフォーム認証でそれを保護します。クライアントは、今後のリクエストに再送信するためにクッキーを取得します。
私たちはhttpsを使用していますが、依然としてリクエストを再生することができます。クッキーは最初にログインしたクライアントでのみ使用できるように、どうすれば保護できますか?
私は、リクエストごとにクッキーを更新することを考えていました。しかし、アプリはいくつかの非同期リクエストを送信することがあります。だからうまくいかない。
/パトリック
タイムスタンプは、両端でクロックが同期されている場合にのみ機能し、それでも差異を考慮するには「スラックウィンドウ」を残す必要があります。 – Marcin