Tokens de acceso de uso limitado

Los tokens de acceso de uso limitado brindan protección contra la falsificación de solicitudes y ataques de reproducción, lo que garantiza que el usuario reciba la acción que envió el mensaje. Para lograr la protección, se debe agregar un parámetro de token único a los parámetros de la solicitud y verificarlo cuando se invoque la acción.

El parámetro del token se debe generar como una clave que solo se puede usar para una acción específica y un usuario específico. Antes de realizar la acción solicitada, debe verificar que el token sea válido y coincida con el que generó para el usuario. Si el token coincide, se puede realizar la acción y el token deja de ser válido para futuras solicitudes.

Los tokens de acceso se deben enviar al usuario como parte de la propiedad url de HttpActionHandler. Por ejemplo, si tu aplicación maneja solicitudes de aprobación en http://www.example.com/approve?requestId=123, debes considerar incluir un parámetro accessToken adicional para este y detectar las solicitudes enviadas a http://www.example.com/approve?requestId=123&accessToken=xyz.

La combinación requestId=123 y accessToken=xyz es la que se debe generar por adelantado, de modo que el accessToken no se pueda deducir del requestId. Se debe rechazar cualquier solicitud de aprobación con requestId=123 y sin accessToken o con un accessToken que no sea igual a xyz. Una vez que se complete esta solicitud, también se deberán rechazar las solicitudes futuras con el mismo ID y token de acceso.