सीमित इस्तेमाल वाले टोकन से, आपको झूठे नाम से मेल भेजने के अनुरोध और फिर से हमला करने से सुरक्षा मिलती है. इससे यह पक्का होता है कि कार्रवाई उसी उपयोगकर्ता ने की है जिसे मैसेज भेजा गया था. सुरक्षा के लिए, अनुरोध पैरामीटर में एक यूनीक टोकन पैरामीटर जोड़ा जाता है और कार्रवाई शुरू होने पर इसकी पुष्टि की जाती है.
टोकन पैरामीटर एक कुंजी के रूप में जनरेट होना चाहिए. इसका इस्तेमाल सिर्फ़ किसी खास कार्रवाई और खास उपयोगकर्ता के लिए किया जा सकता है. अनुरोध की गई कार्रवाई करने से पहले, आपको यह जांच करनी चाहिए कि टोकन मान्य है और उपयोगकर्ता के लिए जनरेट किए गए टोकन से मेल खाता है. अगर टोकन का मिलान हो जाता है, तो कार्रवाई की जा सकती है. साथ ही, आने वाले अनुरोधों के लिए टोकन अमान्य हो जाता है.
ऐक्सेस टोकन, उपयोगकर्ता को HttpActionHandler की url प्रॉपर्टी के हिस्से के रूप में भेजे जाने चाहिए. उदाहरण के लिए, अगर आपका ऐप्लिकेशन http://www.example.com/approve?requestId=123 पर अनुमति के अनुरोधों को हैंडल करता है, तो आपको इसमें एक अतिरिक्त accessToken पैरामीटर शामिल करना चाहिए और http://www.example.com/approve?requestId=123&accessToken=xyz को भेजे गए अनुरोधों को सुनना चाहिए.
requestId=123 और accessToken=xyz का कॉम्बिनेशन requestId=123 को पहले से जनरेट करना है. इससे यह पक्का होता है कि accessToken का पता, requestId से नहीं लगाया जा सकता. requestId=123 या ऐसे accessToken या accessToken से मेल नहीं खाने वाले xyz के बराबर होने वाले अनुमति के अनुरोध को अस्वीकार कर दिया जाना चाहिए. इस अनुरोध को देखने के बाद, इसी आईडी और ऐक्सेस टोकन वाले किसी भी आने वाले अनुरोध को भी अस्वीकार कर दिया जाएगा.