您可能想阅读此 PDF，其中提供了此类重放攻击的示例。实际上，这与其说是重放攻击，不如说是中间人攻击。也就是说，拥有时间戳和缓存的部分原因是使攻击者更难执行此类重放攻击，相反他们必须实际执行 MITM，这更难。他们必须主动阻止请求才能使用身份验证器。

至于会话密钥，据我所知，我可能是错的，一旦您获得允许您访问资源的令牌，它实际上并不是必需的。同样，我不确定是否可以更详细地阅读它。

我想我明白你的问题来自哪里。我今天也有同样的问题。

您可能正在考虑使用会话密钥（在客户端和服务器之间共享）来为各方之间的进一步通信提供机密性和完整性。而重放攻击在这方面确实是无用的：没有会话密钥，攻击者也无法妥协。

但是想象一个用例，通过重放包含票据（和身份验证器）的消息来欺骗服务器来验证攻击者，从而打开了一个明文通信通道。这是应该防止重放攻击的时候！

重放攻击还有另一个问题：它们可以用作安装拒绝服务攻击的机制，本质上是迫使服务器一遍又一遍地解密票证和身份验证器。在处理公钥加密时这很重要，但我认为在这种情况下它并不重要，因为对称加密不会导致拒绝 CPU 的成本那么高。