Что такое функция nonce в процессе аутентификации Oauth?

Question

Я занимаюсь разработкой программного обеспечения, в котором процесс входа в систему выполняется с использованием Microsoft Azure AD с Oauth2. Номер nonce является необязательным в этом процессе, и после успешного входа в систему я получаю токен, действительный в течение одного часа.

Я не мог понять функцию nonce в этом процессе, и я не использую его. Из-за этого моя аутентификация менее безопасна? Каковы преимущества добавления номера nonce в этот процесс?

Answer 1

Nonce связывает клиента и токен, который предотвращает атаки воспроизведения токенов.

nonce - Строковое значение, используемое для связи сеанса клиента с идентификатором токена и для смягчения атак воспроизведения

Подумайте о своей конечной точке токена и получении ответа токена от сервера авторизации. Как клиент, как вы могли проверить, чтобы ID-токен не воспроизводился злоумышленником? Это то, что служит nonce.

Вы добавляете этот параметр в запрос авторизации. И в ответе токена вы получаете идентификационный токен. Когда вы проверяете токен, вы проверяете nonce внутри токена (утверждения JWT).

Больше от этот ответ

Кроме того, в зависимости от типа потока, nonce может быть обязательным параметром. Значение nonce мандата неявного потока и гибридного потока