Sto creando un server SOAP con WSSE. Come suggeriscono le specifiche ( link ), il mio cliente deve passare un token (nonce) a conoscenza del tempo che convalida che la richiesta è in tempo per evitare attacchi di riproduzione. Ma la mia preoccupazione principale riguarda il tempo su entrambe le macchine (client e server) che non è necessario lo stesso e potrebbe dare dei falsi positivi quando il client invia il suo tempo di creazione. Come posso gestire il timestamp per consentire una finestra valida di ad esempio 5 minuti?
Per fare un esempio:
- Il mio cliente ha la data: 2017/07/04 11:55:22 quando crea la richiesta.
- Il mio server quando riceve (pochi secondi dopo la richiesta) ha la data: 2017/07/04 12:00:32
Quindi, come puoi vedere il token è già scaduto perché non c'è sincronizzazione tra le due date.
Che cosa posso fare? Qualche suggerimento?
Grazie in anticipo.