I token di accesso a uso limitato forniscono protezione dagli spoofing delle richieste e dagli attacchi di riproduzione, garantendo che l'azione venga eseguita dall'utente a cui è stato inviato il messaggio. La protezione si ottiene aggiungendo un parametro token univoco ai parametri della richiesta e verificandolo quando viene richiamata l'azione.
Il parametro token deve essere generato come chiave che può essere utilizzata solo per una determinata azione e un utente specifico. Prima che venga eseguita l'azione richiesta, devi verificare che il token sia valido e che corrisponda a quello generato per l'utente. Se il token corrisponde, è possibile eseguire l'azione e il token non è più valido per le richieste future.
I token di accesso devono essere inviati all'utente come parte della proprietà url di HttpActionHandler. Ad esempio, se la tua applicazione gestisce le richieste di approvazione a http://www.example.com/approve?requestId=123, dovresti includere un parametro accessToken aggiuntivo e ascoltare le richieste inviate a http://www.example.com/approve?requestId=123&accessToken=xyz.
La combinazione requestId=123 e accessToken=xyz deve essere generata in anticipo, assicurandoti che non sia possibile dedurre accessToken da requestId. Qualsiasi richiesta di approvazione con requestId=123 e senza accessToken o con accessToken non uguale a xyz deve essere rifiutata. Quando questa richiesta sarà soddisfatta, ogni richiesta futura con lo stesso ID e token di accesso dovrà essere rifiutata.