Estoy creando un servidor SOAP con WSSE. Como sugiere la especificación ( enlace ), mi cliente necesita pasar un token (nonce) consciente del tiempo que valida que la solicitud llegue a tiempo para evitar ataques de repetición. Pero mi principal preocupación es sobre el tiempo en ambas máquinas (cliente y servidor) que no es necesario lo mismo y podría dar algún falso positivo cuando el cliente envíe su hora de creación. ¿Cómo puedo manejar la marca de tiempo para permitir una ventana válida de, por ejemplo, 5 minutos?
Para dar un ejemplo:
- Mi cliente tiene la fecha: 2017/07/04 11:55:22 cuando crea la solicitud.
- Mi servidor cuando recibe (solo segundos después de la solicitud) tiene la fecha: 2017/07/04 12:00:32
Entonces, como puedes ver, el token ya está vencido porque no hay sincronización entre las dos fechas.
¿Qué puedo hacer? ¿Alguna sugerencia?
Gracias de antemano.