Tokens de acceso de uso limitado
Los tokens de acceso de uso limitado brindan protección contra la falsificación de solicitudes y ataques de reproducción, lo que garantiza que el usuario reciba la acción que envió el mensaje. Para lograr la protección, se debe agregar un parámetro de token único a los parámetros de la solicitud y verificarlo cuando se invoque la acción.
El parámetro del token se debe generar como una clave que solo se puede usar para una acción específica y un usuario específico. Antes de realizar la acción solicitada, debe verificar que el token sea válido y coincida con el que generó para el usuario. Si el token coincide, se puede realizar la acción y el token deja de ser válido para futuras solicitudes.
Los tokens de acceso se deben enviar al usuario como parte de la propiedad url de HttpActionHandler. Por ejemplo, si tu aplicación maneja solicitudes de aprobación en http://www.example.com/approve?requestId=123, debes considerar incluir un parámetro accessToken adicional para este y detectar las solicitudes enviadas a http://www.example.com/approve?requestId=123&accessToken=xyz.
La combinación requestId=123 y accessToken=xyz es la que se debe generar por adelantado, de modo que el accessToken no se pueda deducir del requestId. Se debe rechazar cualquier solicitud de aprobación con requestId=123 y sin accessToken o con un accessToken que no sea igual a xyz. Una vez que se complete esta solicitud, también se deberán rechazar las solicitudes futuras con el mismo ID y token de acceso.
Salvo que se indique lo contrario, el contenido de esta página está sujeto a la licencia Atribución 4.0 de Creative Commons, y los ejemplos de código están sujetos a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio de Google Developers. Java es una marca registrada de Oracle o sus afiliados.
Última actualización: 2024-09-03 (UTC)
[null,null,["Última actualización: 2024-09-03 (UTC)"],[[["Limited-Use Access Tokens enhance security by mitigating request spoofing and replay attacks, ensuring actions are performed by the intended user."],["These tokens function as unique keys, valid for a specific action and user, verified before the action is executed and invalidated afterward."],["Access tokens are transmitted via the `url` property of the `HttpActionHandler`, requiring developers to include an `accessToken` parameter for verification."],["To ensure security, a unique combination of `requestId` and `accessToken` should be pre-generated, with any request lacking the correct token being rejected."],["Upon successful execution of a request with a valid token, subsequent requests using the same token should be denied to prevent replay attacks."]]],["The core concept is using Limited-Use Access Tokens to secure user actions. A unique token, tied to a specific action and user, is added to request parameters (e.g., in a URL). Before an action executes, the system verifies the token's validity and user association. Valid tokens are then invalidated to prevent reuse. The system should generate the access token, ensuring it's unpredictable from the request ID and reject requests with missing or invalid tokens.\n"]]
