擅长:python、mysql、java
<p>我通过将时间戳(自epoch起的秒数)放入post请求的主体或get请求的参数来解决这个问题。我只是使用时间戳作为编码的签名,这意味着HMAC哈希对于每一个以不同的秒来的请求都是不同的。你知道吗</p>
<p>然后,为了防止攻击者仅仅使用以前看到的时间戳,我在服务器上验证了时间戳不超过当前时间之前5秒。你知道吗</p>
<p>一个能够快速截获通信并发送攻击的攻击者仍然可以通过,但是我不能将超时时间降到5秒以下,因为它已经收到一些超时的请求。你知道吗</p>
<p>由于整个事情是在SSL下完成的,我认为它应该足够安全。你知道吗</p>