Nonce, una señal generada aleatoriamente
Nonce es una señal criptográfica generada aleatoriamente que se utiliza para impedir el robo de señales de nombre de usuario utilizadas con los mensajes SOAP. Nonce se utiliza con el método de autenticación básica (BasicAuth).
Sin Nonce, cuando se pasa un UsernameToken de una máquina a otra utilizando un transporte no seguro como HTTP, la señal se puede interceptar y utilizar en un ataque de reproducción. Cuando se transmite la señal de nombre de usuario entre el cliente y el servidor se puede volver a utilizar la misma clave, por lo que queda vulnerable ante los ataques. La señal de nombre de usuario se puede robar aunque se utilice la firma digital XML y el cifrado XML.
Para eliminar estos ataques de reproducción, se generan los elementos <wsse:Nonce> y <wsu:Created> en el elemento <wsse: usernameToken> y se utilizan para validar el mensaje. El receptor de la solicitud o el receptor de la respuesta comprueba la antigüedad del mensaje para verificar que la diferencia entre la fecha de creación del mensaje y la fecha actual entra dentro del período de tiempo especificado. Asimismo, WebSphere Application Server comprueba que el receptor no ha procesado la señal dentro del período de tiempo especificado. Estas dos características se utilizan para reducir la probabilidad de que se utilice una señal de nombre de usuario en un ataque de reproducción.