Mã thông báo truy cập bị hạn chế sử dụng giúp bảo vệ khỏi giả mạo yêu cầu và tấn công phát lại, đảm bảo rằng hành động được thực hiện bởi người dùng đã gửi thư. Bạn có thể bảo vệ bằng cách thêm một tham số mã xác minh riêng biệt vào các tham số yêu cầu và xác minh tham số đó khi gọi hành động.
Bạn nên tạo thông số mã thông báo dưới dạng khóa chỉ có thể dùng cho một hành động cụ thể và một người dùng cụ thể. Trước khi thực hiện hành động được yêu cầu, bạn nên kiểm tra xem mã thông báo có hợp lệ và khớp với mã bạn đã tạo cho người dùng hay không. Nếu mã thông báo khớp, thì hành động có thể thực hiện và mã thông báo sẽ trở nên không hợp lệ đối với các yêu cầu trong tương lai.
Mã truy cập phải được gửi đến người dùng dưới dạng một phần của thuộc tính url của HttpActionHandler. Ví dụ: nếu ứng dụng của bạn xử lý các yêu cầu phê duyệt tại http://www.example.com/approve?requestId=123, bạn nên xem xét thêm một thông số accessToken vào ứng dụng và theo dõi các yêu cầu được gửi đến http://www.example.com/approve?requestId=123&accessToken=xyz.
Kết hợp requestId=123 và accessToken=xyz là kết hợp bạn phải tạo trước, đảm bảo rằng accessToken không thể được suy luận từ requestId. Bất kỳ yêu cầu phê duyệt nào với requestId=123 và không có accessToken hoặc với accessToken không bằng xyz đều phải bị từ chối. Sau khi yêu cầu này được thực hiện, mọi yêu cầu trong tương lai có cùng mã nhận dạng và mã truy cập cũng sẽ bị từ chối.