Zadbaj o dobrą organizację dzięki kolekcji
Zapisuj i kategoryzuj treści zgodnie ze swoimi preferencjami.
Tokeny dostępu o ograniczonym wykorzystaniu zapewniają ochronę przed podszywaniem się pod innych i próbami ponownego odtworzenia, dzięki czemu działanie jest wykonywane przez użytkownika, do którego wiadomość została wysłana. Zabezpieczenie polega na dodaniu unikalnego parametru tokena do parametrów żądania i zweryfikowaniu go po wywołaniu działania.
Parametr tokena powinien być wygenerowany jako klucz, który może być używany tylko do określonego działania i do określonego użytkownika. Przed wykonaniem żądanego działania należy sprawdzić, czy token jest prawidłowy i odpowiada tokenowi wygenerowanemu dla użytkownika. Jeśli token pasuje, można wykonać czynność, a w przypadku kolejnych żądań straci on ważność.
Tokeny dostępu należy wysłać do użytkownika w ramach właściwości url obiektu HttpActionHandler. Jeśli na przykład aplikacja obsługuje prośby o zatwierdzenie wysłane na adres http://www.example.com/approve?requestId=123, możesz uwzględnić w niej dodatkowy parametr accessToken i odsłuchiwać żądania wysyłane do: http://www.example.com/approve?requestId=123&accessToken=xyz.
Kombinację requestId=123 z accessToken=xyz należy wygenerować z wyprzedzeniem, upewniając się, że accessToken nie można usunąć jej z requestId. Wnioski o zgodę wysłane za pomocą requestId=123 i accessToken o wartości accessToken innej niż xyz powinny zostać odrzucone. Gdy prośba zostanie spełniona, wszystkie przyszłe żądania z takim samym identyfikatorem i tokenem dostępu również będą odrzucane.
[[["Łatwo zrozumieć","easyToUnderstand","thumb-up"],["Rozwiązało to mój problem","solvedMyProblem","thumb-up"],["Inne","otherUp","thumb-up"]],[["Brak potrzebnych mi informacji","missingTheInformationINeed","thumb-down"],["Zbyt skomplikowane / zbyt wiele czynności do wykonania","tooComplicatedTooManySteps","thumb-down"],["Nieaktualne treści","outOfDate","thumb-down"],["Problem z tłumaczeniem","translationIssue","thumb-down"],["Problem z przykładami/kodem","samplesCodeIssue","thumb-down"],["Inne","otherDown","thumb-down"]],["Ostatnia aktualizacja: 2025-07-25 UTC."],[],[],null,["# Limited Use Access Tokens\n\nLimited-Use Access Tokens provide protection from request spoofing and [replay attacks](http://en.wikipedia.org/wiki/Replay_attack), ensuring that the action is performed by the user the message was sent to. Protection is achieved by adding a unique token parameter to the request parameters and verifying it when the action is invoked.\n\nThe token parameter should be generated as a key that can only be used for a specific action and a specific user. Before the requested action is performed, you should check that the token is valid and matches the one you generated for the user. If the token matches then the action can be performed and the token becomes invalid for future requests.\n\nAccess tokens should be sent to the user as part of the `url` property of the [HttpActionHandler](/workspace/gmail/markup/reference/types/HttpActionHandler). For instance, if your application handles approval requests at `http://www.example.com/approve?requestId=123`, you should consider including an additional `accessToken` parameter to it and listen to requests sent to `http://www.example.com/approve?requestId=123&accessToken=xyz`.\n\nThe combination `requestId=123` and `accessToken=xyz` is the one that you have to generate in advance, making sure that the `accessToken` cannot be deduced from the `requestId`. Any approval request with `requestId=123` and no `accessToken` or with a `accessToken` not equal to `xyz` should be rejected. Once this request gets through, any future request with the same id and access token should be rejected too."]]
