现时标志,随机生成的令牌
现时标志是随机生成的密码令牌,用于防止盗取与 SOAP 消息一起使用的用户名令牌。对基本认证 (BasicAuth) 方法使用现时标志。
若没有现时标志,当使用非安全传输(如 HTTP)从一台机器向另一台机器传递 UsernameToken 时,令牌可能会被拦截并用于重放攻击中。当在客户机和服务器之间传输用户名令牌时,可以复用相同的密钥,这使其易于受到攻击。即使您使用 XML 数字签名和 XML 加密,用户名令牌也可能被盗取。
为了帮助消除这些重放攻击,在 <wsse: usernameToken> 元素中生成 <wsse:Nonce> 和 <wsu:Created> 元素用来验证消息。请求接收方或响应接收方检查消息新鲜度以验证消息创建时和当前时间之间的差值是否在指定的时间段内。另外,WebSphere® Application Server 还验证在指定的时间段内接收方是否还未处理令牌。这两个功能用于减少用户名令牌用于重放攻击的机会。