استفاده محدود از نشانه های دسترسی
توکنهای دسترسی با استفاده محدود از جعل درخواست و حملات تکراری محافظت میکنند و اطمینان میدهند که این عمل توسط کاربری که پیام به آن ارسال شده انجام میشود. حفاظت با افزودن یک پارامتر رمز منحصر به فرد به پارامترهای درخواست و تأیید آن هنگام فراخوانی عمل به دست می آید.
پارامتر توکن باید به عنوان کلیدی تولید شود که فقط برای یک اقدام خاص و یک کاربر خاص قابل استفاده باشد. قبل از انجام عمل درخواستی، باید بررسی کنید که نشانه معتبر است و با آنچه که برای کاربر ایجاد کرده اید مطابقت دارد. اگر توکن مطابقت داشته باشد، این عمل می تواند انجام شود و نشانه برای درخواست های بعدی نامعتبر می شود.
نشانه های دسترسی باید به عنوان بخشی از ویژگی url HttpActionHandler برای کاربر ارسال شوند. برای مثال، اگر برنامه شما درخواستهای تأیید را در http://www.example.com/approve?requestId=123 رسیدگی میکند، باید یک پارامتر accessToken اضافی به آن اضافه کنید و به درخواستهای ارسال شده به http://www.example.com/approve?requestId=123&accessToken=xyz .
ترکیب requestId=123 و accessToken=xyz ترکیبی است که باید از قبل ایجاد کنید و مطمئن شوید که accessToken از requestId قابل استنتاج نیست. هرگونه درخواست تایید با requestId=123 و بدون accessToken یا با accessToken غیر برابر xyz باید رد شود. پس از انجام این درخواست، هر درخواست بعدی با همان شناسه و نشانه دسترسی نیز باید رد شود.
جز در مواردی که غیر از این ذکر شده باشد،محتوای این صفحه تحت مجوز Creative Commons Attribution 4.0 License است. نمونه کدها نیز دارای مجوز Apache 2.0 License است. برای اطلاع از جزئیات، به خطمشیهای سایت Google Developers مراجعه کنید. جاوا علامت تجاری ثبتشده Oracle و/یا شرکتهای وابسته به آن است.
تاریخ آخرین بهروزرسانی 2024-10-30 بهوقت ساعت هماهنگ جهانی.
[null,null,["تاریخ آخرین بهروزرسانی 2024-10-30 بهوقت ساعت هماهنگ جهانی."],[[["Limited-Use Access Tokens enhance security by mitigating request spoofing and replay attacks, ensuring actions are performed by the intended user."],["These tokens function as unique keys, valid for a specific action and user, verified before the action is executed and invalidated afterward."],["Access tokens are transmitted via the `url` property of the `HttpActionHandler`, requiring developers to include an `accessToken` parameter for verification."],["To ensure security, a unique combination of `requestId` and `accessToken` should be pre-generated, with any request lacking the correct token being rejected."],["Upon successful execution of a request with a valid token, subsequent requests using the same token should be denied to prevent replay attacks."]]],["The core concept is using Limited-Use Access Tokens to secure user actions. A unique token, tied to a specific action and user, is added to request parameters (e.g., in a URL). Before an action executes, the system verifies the token's validity and user association. Valid tokens are then invalidated to prevent reuse. The system should generate the access token, ensuring it's unpredictable from the request ID and reject requests with missing or invalid tokens.\n"]]
