最近我为CodeIgniter下载了Phil Strugeon REST server。我查看了源代码，当我来到摘要身份验证时，我看到了以下代码：

if ($this->input->server('PHP_AUTH_DIGEST'))
{
    $digest_string = $this->input->server('PHP_AUTH_DIGEST');
}
elseif ($this->input->server('HTTP_AUTHORIZATION'))
{
    $digest_string = $this->input->server('HTTP_AUTHORIZATION');
}
else
{
    $digest_string = "";
}

稍后，在检查了$digest_string是否存在以及用户名是否存在之后：

// This is the valid response expected
$A1 = md5($digest['username'].':'.$this->config->item('rest_realm').':'.$valid_pass);
$A2 = md5(strtoupper($this->request->method).':'.$digest['uri']);
$valid_response = md5($A1.':'.$digest['nonce'].':'.$digest['nc'].':'.$digest['cnonce'].':'.$digest['qop'].':'.$A2);

if ($digest['response'] != $valid_response)
{
    header('HTTP/1.0 401 Unauthorized');
    header('HTTP/1.1 401 Unauthorized');
    exit;
}

在Wikipedia中，我看到以下关于HTTP摘要身份验证的文本：
对于后续的请求，十六进制请求计数器（nc）必须大于它上次使用的值-否则攻击者可以简单地“重放”具有相同凭据的旧请求。服务器负责确保计数器随它发出的每个nonce值而增加，从而适当地拒绝任何错误的请求。
服务器应记住它最近生成的随机数值。它还可能记住每个随机数值是何时发出的，并在一段时间后使它们过期。如果使用了过期值，服务器应使用“401”状态代码进行响应，并将stale=TRUE添加到验证标头中，指示客户机应使用提供的新随机数值重新发送。而不提示用户输入另一用户名和密码。
但是我在源代码中没有看到任何关于检查cnce，nc或nonce的内容，这是否意味着记录了客户端到服务器的请求并通过了身份验证的人可以在将来“重放”它并获得新的资源值？
是真的有漏洞吗？还是我误解了什么？