استفاده محدود از نشانه های دسترسی

توکن‌های دسترسی با استفاده محدود از جعل درخواست و حملات تکراری محافظت می‌کنند و اطمینان می‌دهند که این عمل توسط کاربری که پیام به آن ارسال شده انجام می‌شود. حفاظت با افزودن یک پارامتر رمز منحصر به فرد به پارامترهای درخواست و تأیید آن هنگام فراخوانی عمل به دست می آید.

پارامتر توکن باید به عنوان کلیدی تولید شود که فقط برای یک اقدام خاص و یک کاربر خاص قابل استفاده باشد. قبل از انجام عمل درخواستی، باید بررسی کنید که نشانه معتبر است و با آنچه که برای کاربر ایجاد کرده اید مطابقت دارد. اگر توکن مطابقت داشته باشد، این عمل می تواند انجام شود و نشانه برای درخواست های بعدی نامعتبر می شود.

نشانه های دسترسی باید به عنوان بخشی از ویژگی url HttpActionHandler برای کاربر ارسال شوند. برای مثال، اگر برنامه شما درخواست‌های تأیید را در http://www.example.com/approve?requestId=123 رسیدگی می‌کند، باید یک پارامتر accessToken اضافی به آن اضافه کنید و به درخواست‌های ارسال شده به http://www.example.com/approve?requestId=123&accessToken=xyz .

ترکیب requestId=123 و accessToken=xyz ترکیبی است که باید از قبل ایجاد کنید و مطمئن شوید که accessToken از requestId قابل استنتاج نیست. هرگونه درخواست تایید با requestId=123 و بدون accessToken یا با accessToken غیر برابر xyz باید رد شود. پس از انجام این درخواست، هر درخواست بعدی با همان شناسه و نشانه دسترسی نیز باید رد شود.