לרוב, כדי לשלוח תוכן דינמי מותאם אישית באימייל, צריך לאמת את המשתמש. עם זאת, כדי להגן על נתוני המשתמשים, כל בקשות ה-HTTP שנשלחות מתוך אימיילים ב-AMP ב-Gmail עוברות דרך שרת proxy ומוחרגים מהן קובצי cookie.
כדי לאמת בקשות שנשלחות מאימיילים מסוג AMP, אפשר להשתמש באסימוני גישה.
אסימוני גישה
אפשר להשתמש באסימוני גישה כדי לאמת את המשתמש. שולח האימייל מספק את אסימוני הגישה ובודק אותם. השולח משתמש באסימונים כדי לוודא שרק למי שיש גישה לאימייל ב-AMP יש אפשרות לשלוח את הבקשות שמופיעות באימייל. אסימוני הגישה חייבים להיות מאובטחים מבחינה קריפטוגרפית, מוגבלים בזמן ובהיקף. הם כלולים בכתובת ה-URL של הבקשה.
בדוגמה הזו מוצגת שימוש ב-<amp-list> כדי להציג נתונים מאומתים:
<amp-list src="https://example.com/endpoint?token=REPLACE_WITH_YOUR_ACCESS_TOKEN"
height="300">
<template type="amp-mustache">
...
</template>
</amp-list>
באופן דומה, כשמשתמשים ב-<amp-form>, צריך להוסיף את אסימון הגישה לכתובת ה-URL של action-xhr.
<form action-xhr="https://example.com/endpoint?token=REPLACE_WITH_YOUR_ACCESS_TOKEN" method="post">
<input type="text" name="data">
<input type="submit" value="Send">
</form>
דוגמה
בדוגמה הבאה נתאר שירות היפותטי לניהול הערות, שמאפשר למשתמשים מחוברים להוסיף הערות לחשבון שלהם ולצפות בהן מאוחר יותר. השירות רוצה לשלוח אימייל למשתמש jane@example.com שכולל רשימה של הערות שהוא כתב בעבר. רשימת ההערות של המשתמש הנוכחי זמינה בנקודת הקצה https://example.com/personal-notes בפורמט JSON.
לפני שליחת האימייל, השירות יוצר אסימון גישה מאובטח מבחינה קריפטוגרפית לשימוש מוגבל עבור jane@example.com: A3a4roX9x. טוקן הגישה נכלל בשם השדה exampletoken בתוך שאילתה של כתובת URL:
<amp-list src="https://example.com/personal-notes?exampletoken=A3a4roX9x" height="300">
<template type="amp-mustache">
<p>{{note}}</p>
</template>
</amp-list>
נקודת הקצה https://example.com/personal-notes אחראית על אימות הפרמטר exampletoken ועל חיפוש המשתמש שמשויך לאסימון.
מידע נוסף זמין במאמר אסימוני גישה לשימוש מוגבל.