Token consciente del tiempo en la seguridad WS (WSSE)

0

Estoy creando un servidor SOAP con WSSE. Como sugiere la especificación ( enlace ), mi cliente necesita pasar un token (nonce) consciente del tiempo que valida que la solicitud llegue a tiempo para evitar ataques de repetición. Pero mi principal preocupación es sobre el tiempo en ambas máquinas (cliente y servidor) que no es necesario lo mismo y podría dar algún falso positivo cuando el cliente envíe su hora de creación. ¿Cómo puedo manejar la marca de tiempo para permitir una ventana válida de, por ejemplo, 5 minutos?

Para dar un ejemplo:

  • Mi cliente tiene la fecha: 2017/07/04 11:55:22 cuando crea la solicitud.
  • Mi servidor cuando recibe (solo segundos después de la solicitud) tiene la fecha: 2017/07/04 12:00:32

Entonces, como puedes ver, el token ya está vencido porque no hay sincronización entre las dos fechas.

¿Qué puedo hacer? ¿Alguna sugerencia?

Gracias de antemano.

    
pregunta azuax 04.07.2017 - 21:08
fuente

0 respuestas

Lea otras preguntas en las etiquetas