He utilizado API que requieren un nonce para cada solicitud. Si las solicitudes de HTTPS no son reproducibles, vea aquí enlace , ¿cuál es la razón para no requerir las API de HTTPS?
¿Es solo para garantizar que los consumidores legítimos no emitan solicitudes más de una vez?
El tráfico HTTPS no se puede reproducir, pero su contenido podría ser. Es posible que un navegador envíe una solicitud varias veces porque el usuario ha respondido o porque la conexión se ha agotado en el último intento o algo similar. En ese caso, necesita otro nonce para detectar las solicitudes de API duplicadas. Así que puedes evitar, por ejemplo. enviando dos pares de zapatos.
Note la diferencia. Los paquetes HTTPS no se reproducen. El navegador puede usar una nueva conexión HTTPS o seguir usando la misma conexión, pero simplemente está enviando nuevos paquetes.
Hablando como desarrollador web, no puedo evitar pensar que es simplemente más fácil para el equipo de desarrollo implementar controladores de nivel de aplicación que la interfaz con detalles de implementación de nivel inferior. Como parámetros, está justo al lado de todas las otras entradas que el servidor necesita, y no se complica con el almacenamiento en caché, los balanceadores de carga, las transferencias de itinerancia de IP, el manejo de errores del navegador, etc. les permite ignorar el medio, y no tienen que coordinarse con otros equipos como infra durante el desarrollo.
El nonce utilizado en el cifrado simétrico, que en el caso de TLS, no es un contador ni un valor pseudoaleatorio utilizado para generar texto cifrado, sino que es un componente del proceso de cifrado / descifrado de clave compartida.
Si bien la necesidad de un nonce para el cifrado / descifrado varía de modo cifrado a modo cifrado, la publicación NIST SP 800-38C ( enlace ) en el caso del cifrado en modo AES CCM, el nonce es un parámetro necesario para la validación de los datos descifrados y su etiqueta de autenticación asociada.