Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Los tokens de acceso de uso limitado brindan protección contra la falsificación de solicitudes y ataques de reproducción, lo que garantiza que el usuario reciba la acción que envió el mensaje. Para lograr la protección, se debe agregar un parámetro de token único a los parámetros de la solicitud y verificarlo cuando se invoque la acción.
El parámetro del token se debe generar como una clave que solo se puede usar para una acción específica y un usuario específico. Antes de realizar la acción solicitada, debe verificar que el token sea válido y coincida con el que generó para el usuario. Si el token coincide, se puede realizar la acción y el token deja de ser válido para futuras solicitudes.
Los tokens de acceso se deben enviar al usuario como parte de la propiedad url de HttpActionHandler. Por ejemplo, si tu aplicación maneja solicitudes de aprobación en http://www.example.com/approve?requestId=123, debes considerar incluir un parámetro accessToken adicional para este y detectar las solicitudes enviadas a http://www.example.com/approve?requestId=123&accessToken=xyz.
La combinación requestId=123 y accessToken=xyz es la que se debe generar por adelantado, de modo que el accessToken no se pueda deducir del requestId. Se debe rechazar cualquier solicitud de aprobación con requestId=123 y sin accessToken o con un accessToken que no sea igual a xyz. Una vez que se complete esta solicitud, también se deberán rechazar las solicitudes futuras con el mismo ID y token de acceso.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Falta la información que necesito","missingTheInformationINeed","thumb-down"],["Muy complicado o demasiados pasos","tooComplicatedTooManySteps","thumb-down"],["Desactualizado","outOfDate","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Problema con las muestras o los códigos","samplesCodeIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-07-25 (UTC)"],[],[],null,["# Limited Use Access Tokens\n\nLimited-Use Access Tokens provide protection from request spoofing and [replay attacks](http://en.wikipedia.org/wiki/Replay_attack), ensuring that the action is performed by the user the message was sent to. Protection is achieved by adding a unique token parameter to the request parameters and verifying it when the action is invoked.\n\nThe token parameter should be generated as a key that can only be used for a specific action and a specific user. Before the requested action is performed, you should check that the token is valid and matches the one you generated for the user. If the token matches then the action can be performed and the token becomes invalid for future requests.\n\nAccess tokens should be sent to the user as part of the `url` property of the [HttpActionHandler](/workspace/gmail/markup/reference/types/HttpActionHandler). For instance, if your application handles approval requests at `http://www.example.com/approve?requestId=123`, you should consider including an additional `accessToken` parameter to it and listen to requests sent to `http://www.example.com/approve?requestId=123&accessToken=xyz`.\n\nThe combination `requestId=123` and `accessToken=xyz` is the one that you have to generate in advance, making sure that the `accessToken` cannot be deduced from the `requestId`. Any approval request with `requestId=123` and no `accessToken` or with a `accessToken` not equal to `xyz` should be rejected. Once this request gets through, any future request with the same id and access token should be rejected too."]]
