Token Akses Penggunaan Terbatas
Token Akses Penggunaan Terbatas memberikan perlindungan dari spoofing permintaan dan serangan replay, yang memastikan bahwa tindakan dilakukan oleh pengguna yang dikirimi pesan. Perlindungan dicapai dengan menambahkan parameter token unik ke parameter permintaan dan memverifikasinya saat tindakan dipanggil.
Parameter token harus dibuat sebagai kunci yang hanya dapat digunakan untuk tindakan tertentu dan pengguna tertentu. Sebelum tindakan yang diminta dilakukan, Anda harus memeriksa apakah token tersebut valid dan cocok dengan token yang Anda buat untuk pengguna. Jika token cocok, tindakan dapat dilakukan dan token akan menjadi tidak valid untuk permintaan mendatang.
Token akses harus dikirim kepada pengguna sebagai bagian dari properti url dari HttpActionHandler. Misalnya, jika aplikasi Anda menangani permintaan persetujuan pada http://www.example.com/approve?requestId=123, Anda harus mempertimbangkan untuk menyertakan parameter accessToken tambahan dan memproses permintaan yang dikirim ke http://www.example.com/approve?requestId=123&accessToken=xyz.
Kombinasi requestId=123 dan accessToken=xyz adalah kombinasi yang harus Anda buat di awal, sehingga memastikan accessToken tidak dapat disimpulkan dari requestId. Semua permintaan persetujuan dengan requestId=123 dan tanpa accessToken atau dengan accessToken yang tidak sama dengan xyz harus ditolak. Setelah permintaan ini diterima, semua permintaan mendatang dengan id dan token akses yang sama juga harus ditolak.
Kecuali dinyatakan lain, konten di halaman ini dilisensikan berdasarkan Lisensi Creative Commons Attribution 4.0, sedangkan contoh kode dilisensikan berdasarkan Lisensi Apache 2.0. Untuk mengetahui informasi selengkapnya, lihat Kebijakan Situs Google Developers. Java adalah merek dagang terdaftar dari Oracle dan/atau afiliasinya.
Terakhir diperbarui pada 2024-09-03 UTC.
[null,null,["Terakhir diperbarui pada 2024-09-03 UTC."],[[["Limited-Use Access Tokens enhance security by mitigating request spoofing and replay attacks, ensuring actions are performed by the intended user."],["These tokens function as unique keys, valid for a specific action and user, verified before the action is executed and invalidated afterward."],["Access tokens are transmitted via the `url` property of the `HttpActionHandler`, requiring developers to include an `accessToken` parameter for verification."],["To ensure security, a unique combination of `requestId` and `accessToken` should be pre-generated, with any request lacking the correct token being rejected."],["Upon successful execution of a request with a valid token, subsequent requests using the same token should be denied to prevent replay attacks."]]],["The core concept is using Limited-Use Access Tokens to secure user actions. A unique token, tied to a specific action and user, is added to request parameters (e.g., in a URL). Before an action executes, the system verifies the token's validity and user association. Valid tokens are then invalidated to prevent reuse. The system should generate the access token, ensuring it's unpredictable from the request ID and reject requests with missing or invalid tokens.\n"]]
