Im работает над api. Api будет использоваться приложением iphone.Защитить api от повторных атак
Апи требует логина. Мы защищаем его аутентификацией форм asp.net. Клиент получает cookie для повторной отправки на предстоящие запросы.
Мы используем https, но я думаю, что запрос все еще может быть воспроизведен. Как я могу защитить, поэтому cookie может использоваться только клиентом, который первым вошел в систему?
Я думал о обновлении файла cookie при каждом запросе. Но приложение будет иногда отправлять несколько запросов asynchron. Так что не получится.
/Patrik
Временные метки работают только в том случае, если у обоих концов есть синхронизированные часы, и даже тогда вам все равно придется покинуть «слабое окно», чтобы учитывать несоответствие. – Marcin