制限付きアクセス トークンは、リクエストのなりすましやリプレイ攻撃から保護され、メールが送信されたユーザーによって確実に実行されます。保護を実現するために、リクエスト パラメータに一意のトークン パラメータを追加し、アクションが呼び出されたときにそれを検証します。
トークン パラメータは、特定のアクションと特定のユーザーに対してのみ使用できるキーとして生成する必要があります。リクエストされたアクションを実行する前に、トークンが有効であり、ユーザーに対して生成したトークンと一致していることを確認する必要があります。トークンが一致した場合、アクションを実行できます。トークンは今後のリクエストで無効になります。
アクセス トークンは、HttpActionHandler の url プロパティの一部としてユーザーに送信する必要があります。たとえば、アプリケーションが http://www.example.com/approve?requestId=123 で承認リクエストを処理する場合は、追加の accessToken パラメータを追加して、http://www.example.com/approve?requestId=123&accessToken=xyz に送信されるリクエストをリッスンすることを検討してください。
requestId=123 と accessToken=xyz の組み合わせは事前に生成する必要があるものであり、accessToken が requestId から推測されないようにします。requestId=123 が accessToken の承認リクエスト、または accessToken が xyz でない承認リクエストは拒否されます。このリクエストが完了すると、同じ ID とアクセス トークンを持つ今後のリクエストも拒否されます。