توکنهای دسترسی با استفاده محدود از جعل درخواست و حملات تکراری محافظت میکنند و اطمینان میدهند که این عمل توسط کاربری که پیام به آن ارسال شده انجام میشود. حفاظت با افزودن یک پارامتر رمز منحصر به فرد به پارامترهای درخواست و تأیید آن هنگام فراخوانی عمل به دست می آید.
پارامتر توکن باید به عنوان کلیدی تولید شود که فقط برای یک اقدام خاص و یک کاربر خاص قابل استفاده باشد. قبل از انجام عمل درخواستی، باید بررسی کنید که نشانه معتبر است و با آنچه که برای کاربر ایجاد کرده اید مطابقت دارد. اگر توکن مطابقت داشته باشد، این عمل می تواند انجام شود و نشانه برای درخواست های بعدی نامعتبر می شود.
نشانه های دسترسی باید به عنوان بخشی از ویژگی url HttpActionHandler برای کاربر ارسال شوند. برای مثال، اگر برنامه شما درخواستهای تأیید را در http://www.example.com/approve?requestId=123 رسیدگی میکند، باید یک پارامتر accessToken اضافی به آن اضافه کنید و به درخواستهای ارسال شده به http://www.example.com/approve?requestId=123&accessToken=xyz .
ترکیب requestId=123 و accessToken=xyz ترکیبی است که باید از قبل ایجاد کنید و مطمئن شوید که accessToken از requestId قابل استنتاج نیست. هرگونه درخواست تایید با requestId=123 و بدون accessToken یا با accessToken غیر برابر xyz باید رد شود. پس از انجام این درخواست، هر درخواست بعدی با همان شناسه و نشانه دسترسی نیز باید رد شود.