Tokeny dostępu o ograniczonym wykorzystaniu
Tokeny dostępu o ograniczonym wykorzystaniu zapewniają ochronę przed podszywaniem się pod innych i próbami ponownego odtworzenia, dzięki czemu działanie jest wykonywane przez użytkownika, do którego wiadomość została wysłana. Zabezpieczenie polega na dodaniu unikalnego parametru tokena do parametrów żądania i zweryfikowaniu go po wywołaniu działania.
Parametr tokena powinien być wygenerowany jako klucz, który może być używany tylko do określonego działania i do określonego użytkownika. Przed wykonaniem żądanego działania należy sprawdzić, czy token jest prawidłowy i odpowiada tokenowi wygenerowanemu dla użytkownika. Jeśli token pasuje, można wykonać czynność, a w przypadku kolejnych żądań straci on ważność.
Tokeny dostępu należy wysłać do użytkownika w ramach właściwości url obiektu HttpActionHandler. Jeśli na przykład aplikacja obsługuje prośby o zatwierdzenie wysłane na adres http://www.example.com/approve?requestId=123, możesz uwzględnić w niej dodatkowy parametr accessToken i odsłuchiwać żądania wysyłane do: http://www.example.com/approve?requestId=123&accessToken=xyz.
Kombinację requestId=123 z accessToken=xyz należy wygenerować z wyprzedzeniem, upewniając się, że accessToken nie można usunąć jej z requestId. Wnioski o zgodę wysłane za pomocą requestId=123 i accessToken o wartości accessToken innej niż xyz powinny zostać odrzucone. Gdy prośba zostanie spełniona, wszystkie przyszłe żądania z takim samym identyfikatorem i tokenem dostępu również będą odrzucane.
O ile nie stwierdzono inaczej, treść tej strony jest objęta licencją Creative Commons – uznanie autorstwa 4.0, a fragmenty kodu są dostępne na licencji Apache 2.0. Szczegółowe informacje na ten temat zawierają zasady dotyczące witryny Google Developers. Java jest zastrzeżonym znakiem towarowym firmy Oracle i jej podmiotów stowarzyszonych.
Ostatnia aktualizacja: 2024-09-03 UTC.
[null,null,["Ostatnia aktualizacja: 2024-09-03 UTC."],[[["Limited-Use Access Tokens enhance security by mitigating request spoofing and replay attacks, ensuring actions are performed by the intended user."],["These tokens function as unique keys, valid for a specific action and user, verified before the action is executed and invalidated afterward."],["Access tokens are transmitted via the `url` property of the `HttpActionHandler`, requiring developers to include an `accessToken` parameter for verification."],["To ensure security, a unique combination of `requestId` and `accessToken` should be pre-generated, with any request lacking the correct token being rejected."],["Upon successful execution of a request with a valid token, subsequent requests using the same token should be denied to prevent replay attacks."]]],["The core concept is using Limited-Use Access Tokens to secure user actions. A unique token, tied to a specific action and user, is added to request parameters (e.g., in a URL). Before an action executes, the system verifies the token's validity and user association. Valid tokens are then invalidated to prevent reuse. The system should generate the access token, ensuring it's unpredictable from the request ID and reject requests with missing or invalid tokens.\n"]]
