Nonce, jeton généré de manière aléatoire
Nonce est un jeton de chiffrement généré de manière aléatoire et utilisé pour éviter le piratage des jetons de type nom d'utilisateur associés aux messages SOAP (Simple Object Access Protocol). Nonce est utilisé avec la méthode d'authentification de base (BasicAuth).
Sans nonce, lorsqu'un élément UsernameToken est transmis d'une machine à une autre à l'aide d'un transport non sécurisé, tel que HTTP, le jeton peut être intercepté et utilisé dans une attaque de réexécution. La même clé peut être à nouveau utilisée lorsque le jeton de nom d'utilisateur est transmis entre le client et le serveur. Des attaques sont alors possibles. Le jeton de nom utilisateur peut être détourné même si vous utilisez le chiffrement et la signature numérique XML.
Pour éviter ces attaques de réexécution, les éléments <wsse:Nonce> et <wsu:Created> sont générés dans l'élément <wsse: usernameToken> et permettent de valider le message. L'expéditeur ou le destinataire de la demande contrôle l'ancienneté du message afin de vérifier que l'écart entre le moment de création du message et la date actuelle est compris dans une période donnée. De plus, WebSphere Application Server vérifie que le jeton n'a pas déjà été traité par le destinataire dans la période indiquée. Ces deux fonctions permettent de réduire le risque d'utilisation d'un jeton de nom d'utilisateur pour une attaque de réexécution.