Sınırlı Kullanım Erişim Jetonları, istek adres sahteciliği ve tekrar oynatma saldırılarına karşı koruma sağlar. Bu sayede, işlemin mesajın gönderildiği kullanıcı tarafından gerçekleştirilmesini sağlayabilirsiniz. Koruma, istek parametrelerine benzersiz bir jeton parametresi eklenerek ve bu işlem çağrıldığında doğrulanarak yapılır.
Jeton parametresi, yalnızca belirli bir işlem ve belirli bir kullanıcı için kullanılabilen bir anahtar olarak oluşturulmalıdır. İstenen işlem yapılmadan önce, jetonun geçerli olduğundan ve kullanıcı için oluşturduğunuz jetonla eşleştiğinden emin olmanız gerekir. Jeton eşleşirse işlem gerçekleştirilebilir ve jeton daha sonraki istekler için geçersiz hale gelir.
Erişim jetonları, kullanıcıya HttpActionHandler özelliğinin url özelliğinin bir parçası olarak gönderilmelidir. Örneğin, başvurunuz http://www.example.com/approve?requestId=123 tarihinde onay isteklerini işliyorsa buna ek bir accessToken parametresi eklemeli ve http://www.example.com/approve?requestId=123&accessToken=xyz adresine gönderilen istekleri dinlemelisiniz.
requestId=123 ve accessToken=xyz kombinasyonu, accessToken kapamasının requestId değerinden çıkarılamadığından emin olmak için önceden oluşturmanız gereken kombinasyondur. requestId=123 içeren ve accessToken olmayan veya xyz ile eşit olmayan accessToken onay istekleri reddedilmelidir. Bu istek yerine getirildikten sonra, aynı kimliğe ve erişim jetonuna sahip gelecekteki tüm istekler de reddedilmelidir.