限定存取存取憑證可以防範要求假冒和重播攻擊,確保動作是由使用者寄出。如要獲得保護措施,請在要求參數中加入專屬權杖參數,並在叫用動作時驗證該參數。
符記參數只能用於特定動作以及特定使用者的金鑰。在執行要求的動作之前,您應檢查憑證是否有效,且與您為使用者產生的憑證相符。如果權杖相符,就能執行該動作,而且日後請求將失效。
存取存取憑證應做為 HttpActionHandler 的 url 屬性的一部分傳送給使用者。例如,如果您的應用程式在 http://www.example.com/approve?requestId=123 處理核准要求,請考慮在其中加入額外的 accessToken 參數,並監聽傳送至 http://www.example.com/approve?requestId=123&accessToken=xyz 的要求。
您必須事先產生 requestId=123 和 accessToken=xyz 組合,以確保 accessToken 不會與 requestId 合併。任何含有 requestId=123 且無 accessToken 或 accessToken 不等於 xyz 的核准要求都應遭到拒絕。這項要求處理完畢後,日後也應拒絕所有具有相同 ID 和存取憑證的請求。