2.0 仕様のどこにも言及されていません。nonce は OAuth 2 で使用されていません。使用されていない場合、リプレイ攻撃を防ぐことができますか?
1.0仕様には次のように記載されています。
3.3. ノンスとタイムスタンプ
タイムスタンプ値は正の整数でなければなりません。サーバーのドキュメントで特に指定されていない限り、タイムスタンプは 1970 年 1 月 1 日 00:00:00 GMT からの秒数で表されます。
nonce はランダムな文字列であり、クライアントによって一意に生成され、サーバーが要求が以前に行われたことがないことを確認できるようにし、安全でないチャネルを介して要求が行われた場合のリプレイ攻撃を防ぐのに役立ちます。nonce 値は、タイムスタンプ、クライアント資格情報、およびトークンの組み合わせが同じであるすべてのリクエストで一意である必要があります。
将来のチェックのために無数のノンス値を保持する必要を避けるために、サーバーは、古いタイムスタンプを持つリクエストが拒否されるまでの期間を制限することを選択できます。この制限は、クライアントとサーバーのクロック間の同期レベルを意味することに注意してください。このような制限を適用するサーバーは、クライアントがサーバーのクロックと同期する方法を提供する場合があります。または、両方のシステムを信頼できるタイム サービスと同期させることもできます。クロック同期戦略の詳細は、この仕様の範囲を超えています。