Tokeny dostępu o ograniczonym wykorzystaniu zapewniają ochronę przed podszywaniem się pod innych i próbami ponownego odtworzenia, dzięki czemu działanie jest wykonywane przez użytkownika, do którego wiadomość została wysłana. Zabezpieczenie polega na dodaniu unikalnego parametru tokena do parametrów żądania i zweryfikowaniu go po wywołaniu działania.
Parametr tokena powinien być wygenerowany jako klucz, który może być używany tylko do określonego działania i do określonego użytkownika. Przed wykonaniem żądanego działania należy sprawdzić, czy token jest prawidłowy i odpowiada tokenowi wygenerowanemu dla użytkownika. Jeśli token pasuje, można wykonać czynność, a w przypadku kolejnych żądań straci on ważność.
Tokeny dostępu należy wysłać do użytkownika w ramach właściwości url obiektu HttpActionHandler. Jeśli na przykład aplikacja obsługuje prośby o zatwierdzenie wysłane na adres http://www.example.com/approve?requestId=123, możesz uwzględnić w niej dodatkowy parametr accessToken i odsłuchiwać żądania wysyłane do: http://www.example.com/approve?requestId=123&accessToken=xyz.
Kombinację requestId=123 z accessToken=xyz należy wygenerować z wyprzedzeniem, upewniając się, że accessToken nie można usunąć jej z requestId. Wnioski o zgodę wysłane za pomocą requestId=123 i accessToken o wartości accessToken innej niż xyz powinny zostać odrzucone. Gdy prośba zostanie spełniona, wszystkie przyszłe żądania z takim samym identyfikatorem i tokenem dostępu również będą odrzucane.