सीमित इस्तेमाल वाले टोकन से, आपको झूठे नाम से मेल भेजने के अनुरोध और फिर से हमला करने से सुरक्षा मिलती है. इससे यह पक्का होता है कि कार्रवाई उसी उपयोगकर्ता ने की है जिसे मैसेज भेजा गया था. सुरक्षा के लिए, अनुरोध पैरामीटर में एक यूनीक टोकन पैरामीटर जोड़ा जाता है और कार्रवाई शुरू होने पर इसकी पुष्टि की जाती है.
टोकन पैरामीटर एक कुंजी के रूप में जनरेट होना चाहिए. इसका इस्तेमाल सिर्फ़ किसी खास कार्रवाई और खास उपयोगकर्ता के लिए किया जा सकता है. अनुरोध की गई कार्रवाई करने से पहले, आपको यह जांच करनी चाहिए कि टोकन मान्य है और उपयोगकर्ता के लिए जनरेट किए गए टोकन से मेल खाता है. अगर टोकन का मिलान हो जाता है, तो कार्रवाई की जा सकती है. साथ ही, आने वाले अनुरोधों के लिए टोकन अमान्य हो जाता है.
ऐक्सेस टोकन, उपयोगकर्ता को HttpActionHandler की url
प्रॉपर्टी के हिस्से के रूप में भेजे जाने चाहिए. उदाहरण के लिए, अगर आपका ऐप्लिकेशन http://www.example.com/approve?requestId=123
पर अनुमति के अनुरोधों को हैंडल करता है, तो आपको इसमें एक अतिरिक्त accessToken
पैरामीटर शामिल करना चाहिए और http://www.example.com/approve?requestId=123&accessToken=xyz
को भेजे गए अनुरोधों को सुनना चाहिए.
requestId=123
और accessToken=xyz
का कॉम्बिनेशन requestId=123
को पहले से जनरेट करना है. इससे यह पक्का होता है कि accessToken
का पता, requestId
से नहीं लगाया जा सकता. requestId=123
या ऐसे accessToken
या accessToken
से मेल नहीं खाने वाले xyz
के बराबर होने वाले अनुमति के अनुरोध को अस्वीकार कर दिया जाना चाहिए. इस अनुरोध को देखने के बाद, इसी आईडी और ऐक्सेस टोकन वाले किसी भी आने वाले अनुरोध को भी अस्वीकार कर दिया जाएगा.