אסימוני גישה לשימוש מוגבל מספקים הגנה מפני זיוף בקשות ומתקפות הפעלה מחדש, כדי לוודא שהפעולה אכן נשלחה על ידי המשתמש שאליו נשלחה ההודעה. כדי להגן על החשבון, מוסיפים פרמטר אסימון ייחודי לפרמטרים של הבקשה ומאמתים אותו כשמתבצעת פעולה.
את אסימון האסימון יש ליצור כמפתח, שיכול לשמש רק לפעולה ספציפית ולמשתמש ספציפי. לפני ביצוע הפעולה המבוקשת, יש לוודא שהאסימון תקף ותואם לאסימון שיצרת עבור המשתמש. אם האסימון תואם, ניתן לבצע את הפעולה ואסימון לא יהיה תקף לבקשות עתידיות.
יש לשלוח אסימוני גישה למשתמש כחלק מהנכס url ב-HttpActionHandler. לדוגמה, אם הבקשה שלך מטפלת בבקשות אישור בכתובת http://www.example.com/approve?requestId=123, מומלץ לכלול בפרמטר accessToken פרמטר נוסף ולהאזין לבקשות שנשלחות אל http://www.example.com/approve?requestId=123&accessToken=xyz.
השילוב requestId=123 וaccessToken=xyz הם השילוב שצריך ליצור מראש, כדי שניתן יהיה להסיק את accessToken מהrequestId. כל בקשת אישור עם requestId=123 וללא accessToken או עם accessToken לא שווה ל-xyz תידחה. אחרי שהבקשה הזו עוברת, כל בקשה עתידית עם אותו מזהה ואסימון גישה תידחה גם היא.