аутентификация клиента, который все время отправляет одни и те же данные, без учетных записей пользователей

Question

У меня есть клиент, который записывает нажатия кнопок, и я хочу отправить количество нажатий кнопки каждые 20 секунд в сообщении http, и я хочу избежать потенциальных хакеров, которые будут отправлять поддельные сообщения клиенту. Учетных записей пользователей нет, клиент просто отправляет количество кликов без сеансов, входов в систему или чего-либо подобного.

Я думал об отправке хэша текущего времени и даты + некоторого пароля и отправке хэша времени и даты для аутентификации на сервере. но как я собираюсь это реализовать? Я имею в виду, что хакер мог посылать одно и то же время и дату и пароль все время, поэтому я должен дополнительно проверить, находятся ли время и дата в течение последних 5 минут или что-то в этом роде? Любые советы?

Вероятно, здесь уже задавались вопросы, поскольку это звучит как "очень распространенная" вещь, но я был не совсем уверен насчет соответствующей терминологии в отношении этой проблемы и не смог найти ответ

Answer 1

то, что вы пытаетесь сделать, - это безопасность от безвестности. -> скрыть свой алгоритм, чтобы никто не смог воспроизвести результат.

в принципе очень плохая идея. используйте существующие алгоритмы аутентификации, они проверены и лучше, чем все, что вы когда-либо придумывали. Возможности: el Gamal / DSA или RSA

Вы объединяете следующие данные и подписываете их RSA: - сообщение - фактическое время

с открытым ключом RSA отправителя получатель может проверить правильность подписи. Вы помните даты действительных сообщений (если сообщение с уже обработанной датой приходит снова, это должно быть перехваченное и повторно отправленное сообщение от «хакера», чтобы вы не обрабатывали его, даже если подпись верна)