auth_digest_replays

Директива auth_digest_replays является частью модуля аутентификации по Digest для NGINX, который обеспечивает способ защиты HTTP‑запросов через механизм challenge‑response с использованием хеширования. Эта директива указывает, сколько раз конкретный nonce, или authentication token, может быть повторно использован клиентом. Установка этого значения помогает смягчить атаки повторного воспроизведения, когда злоумышленник пытается повторно отправить действительные токены аутентификации, чтобы получить доступ к ограниченным разделам приложения.

Когда запрос поступает, сервер NGINX проверяет nonce, предоставленный клиентом, по сравнению с nonces, хранящимися на сервере. Если один и тот же nonce используется чаще, чем настроенный предел (определяемый через auth_digest_replays), NGINX считает запрос потенциально вредоносным и может отклонить его в соответствии с заданными политиками безопасности. Это добавляет важный уровень защиты вашим приложениям, особенно в средах, где передаются чувствительные данные.

Для эффективной реализации этой директивы настройте её в контекстах http, server или location. Параметр принимает целочисленное значение, которое задаёт максимальное число допустимых повторных использований для nonce. Если значение установлено слишком высоким, это может ослабить безопасность, позволяя больше попыток воспроизведения; если слишком низким, это может затруднить работу законных пользователей, которым может потребоваться аутентификация несколько раз из‑за сетевых проблем или других прерываний.