Mã thông báo truy cập giới hạn
Mã thông báo truy cập bị hạn chế sử dụng giúp bảo vệ khỏi giả mạo yêu cầu và tấn công phát lại, đảm bảo rằng hành động được thực hiện bởi người dùng đã gửi thư. Bạn có thể bảo vệ bằng cách thêm một tham số mã xác minh riêng biệt vào các tham số yêu cầu và xác minh tham số đó khi gọi hành động.
Bạn nên tạo thông số mã thông báo dưới dạng khóa chỉ có thể dùng cho một hành động cụ thể và một người dùng cụ thể. Trước khi thực hiện hành động được yêu cầu, bạn nên kiểm tra xem mã thông báo có hợp lệ và khớp với mã bạn đã tạo cho người dùng hay không. Nếu mã thông báo khớp, thì hành động có thể thực hiện và mã thông báo sẽ trở nên không hợp lệ đối với các yêu cầu trong tương lai.
Mã truy cập phải được gửi đến người dùng dưới dạng một phần của thuộc tính url của HttpActionHandler. Ví dụ: nếu ứng dụng của bạn xử lý các yêu cầu phê duyệt tại http://www.example.com/approve?requestId=123, bạn nên xem xét thêm một thông số accessToken vào ứng dụng và theo dõi các yêu cầu được gửi đến http://www.example.com/approve?requestId=123&accessToken=xyz.
Kết hợp requestId=123 và accessToken=xyz là kết hợp bạn phải tạo trước, đảm bảo rằng accessToken không thể được suy luận từ requestId. Bất kỳ yêu cầu phê duyệt nào với requestId=123 và không có accessToken hoặc với accessToken không bằng xyz đều phải bị từ chối. Sau khi yêu cầu này được thực hiện, mọi yêu cầu trong tương lai có cùng mã nhận dạng và mã truy cập cũng sẽ bị từ chối.
Trừ phi có lưu ý khác, nội dung của trang này được cấp phép theo Giấy phép ghi nhận tác giả 4.0 của Creative Commons và các mẫu mã lập trình được cấp phép theo Giấy phép Apache 2.0. Để biết thông tin chi tiết, vui lòng tham khảo Chính sách trang web của Google Developers. Java là nhãn hiệu đã đăng ký của Oracle và/hoặc các đơn vị liên kết với Oracle.
Cập nhật lần gần đây nhất: 2024-09-03 UTC.
[null,null,["Cập nhật lần gần đây nhất: 2024-09-03 UTC."],[[["Limited-Use Access Tokens enhance security by mitigating request spoofing and replay attacks, ensuring actions are performed by the intended user."],["These tokens function as unique keys, valid for a specific action and user, verified before the action is executed and invalidated afterward."],["Access tokens are transmitted via the `url` property of the `HttpActionHandler`, requiring developers to include an `accessToken` parameter for verification."],["To ensure security, a unique combination of `requestId` and `accessToken` should be pre-generated, with any request lacking the correct token being rejected."],["Upon successful execution of a request with a valid token, subsequent requests using the same token should be denied to prevent replay attacks."]]],["The core concept is using Limited-Use Access Tokens to secure user actions. A unique token, tied to a specific action and user, is added to request parameters (e.g., in a URL). Before an action executes, the system verifies the token's validity and user association. Valid tokens are then invalidated to prevent reuse. The system should generate the access token, ensuring it's unpredictable from the request ID and reject requests with missing or invalid tokens.\n"]]
