Token Akses Penggunaan Terbatas memberikan perlindungan dari spoofing permintaan dan serangan replay, yang memastikan bahwa tindakan dilakukan oleh pengguna yang dikirimi pesan. Perlindungan dicapai dengan menambahkan parameter token unik ke parameter permintaan dan memverifikasinya saat tindakan dipanggil.
Parameter token harus dibuat sebagai kunci yang hanya dapat digunakan untuk tindakan tertentu dan pengguna tertentu. Sebelum tindakan yang diminta dilakukan, Anda harus memeriksa apakah token tersebut valid dan cocok dengan token yang Anda buat untuk pengguna. Jika token cocok, tindakan dapat dilakukan dan token akan menjadi tidak valid untuk permintaan mendatang.
Token akses harus dikirim kepada pengguna sebagai bagian dari properti url dari HttpActionHandler. Misalnya, jika aplikasi Anda menangani permintaan persetujuan pada http://www.example.com/approve?requestId=123, Anda harus mempertimbangkan untuk menyertakan parameter accessToken tambahan dan memproses permintaan yang dikirim ke http://www.example.com/approve?requestId=123&accessToken=xyz.
Kombinasi requestId=123 dan accessToken=xyz adalah kombinasi yang harus Anda buat di awal, sehingga memastikan accessToken tidak dapat disimpulkan dari requestId. Semua permintaan persetujuan dengan requestId=123 dan tanpa accessToken atau dengan accessToken yang tidak sama dengan xyz harus ditolak. Setelah permintaan ini diterima, semua permintaan mendatang dengan id dan token akses yang sama juga harus ditolak.