Tokens de Acesso de Uso Limitado
Os tokens de acesso de uso limitado protegem contra spoofing de solicitações e ataques de repetição, garantindo que a ação seja realizada pelo usuário para quem a mensagem foi enviada. Para conseguir a proteção, adicione um parâmetro de token exclusivo aos parâmetros de solicitação e verifique-o quando a ação for invocada.
O parâmetro token precisa ser gerado como uma chave que só pode ser usada para uma ação e um usuário específicos. Antes de realizar a ação solicitada, verifique se o token é válido e corresponde ao que você gerou para o usuário. Se o token corresponder, a ação poderá ser realizada e o token se tornará inválido para solicitações futuras.
Os tokens de acesso precisam ser enviados ao usuário como parte da propriedade url do HttpActionHandler. Por exemplo, caso seu aplicativo processe solicitações de aprovação em http://www.example.com/approve?requestId=123, considere incluir um parâmetro accessToken adicional para ele e detectar solicitações enviadas para http://www.example.com/approve?requestId=123&accessToken=xyz.
A combinação requestId=123 e accessToken=xyz precisa ser gerada com antecedência, garantindo que o accessToken não possa ser deduzido do requestId. Qualquer solicitação de aprovação com requestId=123, sem accessToken ou com accessToken diferente de xyz precisa ser rejeitada. Depois que a solicitação for processada, qualquer solicitação futura com o mesmo ID e token de acesso também será rejeitada.
Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.
Última atualização 2024-09-03 UTC.
[null,null,["Última atualização 2024-09-03 UTC."],[[["Limited-Use Access Tokens enhance security by mitigating request spoofing and replay attacks, ensuring actions are performed by the intended user."],["These tokens function as unique keys, valid for a specific action and user, verified before the action is executed and invalidated afterward."],["Access tokens are transmitted via the `url` property of the `HttpActionHandler`, requiring developers to include an `accessToken` parameter for verification."],["To ensure security, a unique combination of `requestId` and `accessToken` should be pre-generated, with any request lacking the correct token being rejected."],["Upon successful execution of a request with a valid token, subsequent requests using the same token should be denied to prevent replay attacks."]]],["The core concept is using Limited-Use Access Tokens to secure user actions. A unique token, tied to a specific action and user, is added to request parameters (e.g., in a URL). Before an action executes, the system verifies the token's validity and user association. Valid tokens are then invalidated to prevent reuse. The system should generate the access token, ensuring it's unpredictable from the request ID and reject requests with missing or invalid tokens.\n"]]
