용도가 제한된 액세스 토큰은 요청 스푸핑 및 재생 공격으로부터 보호하여 메시지를 수신한 사용자가 작업을 수행할 수 있도록 보장합니다. 요청 매개변수에 고유한 토큰 매개변수를 추가하고 작업이 호출될 때 이를 확인하여 보호합니다.
토큰 매개변수는 특정 작업과 특정 사용자만 사용할 수 있는 키로 생성되어야 합니다. 요청된 작업을 수행하기 전에 토큰이 유효하고 사용자를 위해 생성한 토큰과 일치하는지 확인해야 합니다. 토큰이 일치하면 작업을 수행할 수 있으며 이후 요청에 대해 토큰이 무효화됩니다.
액세스 토큰은 HttpActionHandler의 url
속성의 일부로 사용자에게 전송해야 합니다. 예를 들어 애플리케이션이 http://www.example.com/approve?requestId=123
에서 승인 요청을 처리하는 경우 애플리케이션에 추가 accessToken
매개변수를 포함하고 http://www.example.com/approve?requestId=123&accessToken=xyz
로 전송된 요청을 리슨해야 합니다.
requestId=123
및 accessToken=xyz
조합은 미리 생성해야 하므로 accessToken
에서 requestId
에서 추론할 수 없습니다. requestId=123
만 있고 accessToken
이 없거나 xyz
가 accessToken
가 아닌 승인 요청은 모두 거부해야 합니다. 이 요청이 통과되면 향후 동일한 ID와 액세스 토큰을 사용하는 요청이 모두 거부됩니다.