I token di accesso a uso limitato forniscono protezione dagli spoofing delle richieste e dagli attacchi di riproduzione, garantendo che l'azione venga eseguita dall'utente a cui è stato inviato il messaggio. La protezione si ottiene aggiungendo un parametro token univoco ai parametri della richiesta e verificandolo quando viene richiamata l'azione.
Il parametro token deve essere generato come chiave che può essere utilizzata solo per una determinata azione e un utente specifico. Prima che venga eseguita l'azione richiesta, devi verificare che il token sia valido e che corrisponda a quello generato per l'utente. Se il token corrisponde, è possibile eseguire l'azione e il token non è più valido per le richieste future.
I token di accesso devono essere inviati all'utente come parte della proprietà url
di HttpActionHandler. Ad esempio, se la tua applicazione gestisce le richieste di approvazione a http://www.example.com/approve?requestId=123
, dovresti includere un parametro accessToken
aggiuntivo e ascoltare le richieste inviate a http://www.example.com/approve?requestId=123&accessToken=xyz
.
La combinazione requestId=123
e accessToken=xyz
deve essere generata in anticipo, assicurandoti che non sia possibile dedurre accessToken
da requestId
. Qualsiasi richiesta di approvazione con requestId=123
e senza accessToken
o con accessToken
non uguale a xyz
deve essere rifiutata. Quando questa richiesta sarà soddisfatta, ogni richiesta futura con lo stesso ID e token di accesso dovrà essere rifiutata.