Discussion :

[CliffeCSTL]

Bonjour,

j'ai développé une api rest (nodejs), accessible sur un serveur perso via nginx. Les requêtes sont cryptés (TLS + Certificat).
Pour pouvoir consommer cette api, il faut renseigner un token d'autorisation dans un header de chaque requête.

Ma question: Comment empêcher un hacker de lire le trafic et de rejouer une requête ? Est-ce possible ?

[mathieu]

quand une requête http utilise le protocole HTTPS, les données sont dans un tunnel chiffré entre le client et le serveur. et en théorie, personne ne peut lire ce qui passe dans ce tunnel.

[CliffeCSTL]

C'est donc impossible de rejouer une requête chiffrée ? Même sans connaitre le contenu de cette requête ?
Cad renvoyer au serveur les mêmes paquets réseau...