In diversi token, ad esempio SAML, ho riscontrato che ho visto che include il timestamp per quando è stato creato. Capisco il motivo per un timestamp di scadenza, ma prima che venga creato il token non esiste quindi non capisco il motivo per questo.
Idea. Offre al ricevente la possibilità di specificare il tempo di scadenza Prende in considerazione il tempo di macchina non sincronizzato
Spesso ho usato il timestamp creato come un modo per dimostrare l'unicità. L'ipotesi generale è che la granularità del timestamp sarà abbastanza unica da consentire a un determinato ricevitore di presumere che verrà ricevuta solo una richiesta con il timestamp o con un valore univoco che includa il timestamp.
Ciò impedirebbe alcune forme di attacco di replay, in cui un utente malintenzionato riceve una copia di una richiesta autenticata e la riproduce in un secondo momento per ottenere informazioni aggiornate senza le necessarie credenziali.