Временная метка OAuth проблематична на мобильном телефоне?

Question

У меня есть REST API, который использует OAuth для аутентификации.Этот API в первую очередь будет использоваться для мобильных приложений.

Один из разработчиков, работающих над мобильным приложением (он, кажется, не знаком с OAuth), спросил об ограничении отметки времени.Он был обеспокоен тем, что, если часы пользователя выключены, приложение не будет работать, потому что, если оно выключено более чем на 5 минут (текущее ограничение, используемое моим приложением), запрос будет считаться атакой воспроизведения и будет отклонен.

Мне интересно, сталкивались ли вы (как разработчик приложений или API) с этой проблемой в дикой природе?Как вы обошли это?Что является разумным ограничением для синхронизации меток времени?

Answer 1

У меня точно такой же вопрос, и после двойного ознакомления с документацией, я думаю, что я полностью облажался с реализацией метки времени, думая так же, как и ты, проверь:

http://oauth.net/core/1.0/#nonce

Если поставщиком услуг не указано иное, отметка времени выражается в количестве секунд с 1 января 1970 года 00:00:00 по Гринвичу.Значение метки времени ДОЛЖНО быть положительным целым числом и ДОЛЖНО быть равным или превышать отметку времени, использованную в предыдущих запросах.