Sınırlı Kullanım Erişim Jetonları
Sınırlı Kullanım Erişim Jetonları, istek adres sahteciliği ve tekrar oynatma saldırılarına karşı koruma sağlar. Bu sayede, işlemin mesajın gönderildiği kullanıcı tarafından gerçekleştirilmesini sağlayabilirsiniz. Koruma, istek parametrelerine benzersiz bir jeton parametresi eklenerek ve bu işlem çağrıldığında doğrulanarak yapılır.
Jeton parametresi, yalnızca belirli bir işlem ve belirli bir kullanıcı için kullanılabilen bir anahtar olarak oluşturulmalıdır. İstenen işlem yapılmadan önce, jetonun geçerli olduğundan ve kullanıcı için oluşturduğunuz jetonla eşleştiğinden emin olmanız gerekir. Jeton eşleşirse işlem gerçekleştirilebilir ve jeton daha sonraki istekler için geçersiz hale gelir.
Erişim jetonları, kullanıcıya HttpActionHandler özelliğinin url özelliğinin bir parçası olarak gönderilmelidir. Örneğin, başvurunuz http://www.example.com/approve?requestId=123 tarihinde onay isteklerini işliyorsa buna ek bir accessToken parametresi eklemeli ve http://www.example.com/approve?requestId=123&accessToken=xyz adresine gönderilen istekleri dinlemelisiniz.
requestId=123 ve accessToken=xyz kombinasyonu, accessToken kapamasının requestId değerinden çıkarılamadığından emin olmak için önceden oluşturmanız gereken kombinasyondur. requestId=123 içeren ve accessToken olmayan veya xyz ile eşit olmayan accessToken onay istekleri reddedilmelidir. Bu istek yerine getirildikten sonra, aynı kimliğe ve erişim jetonuna sahip gelecekteki tüm istekler de reddedilmelidir.
Aksi belirtilmediği sürece bu sayfanın içeriği Creative Commons Atıf 4.0 Lisansı altında ve kod örnekleri Apache 2.0 Lisansı altında lisanslanmıştır. Ayrıntılı bilgi için Google Developers Site Politikaları'na göz atın. Java, Oracle ve/veya satış ortaklarının tescilli ticari markasıdır.
Son güncelleme tarihi: 2024-09-03 UTC.
[null,null,["Son güncelleme tarihi: 2024-09-03 UTC."],[[["Limited-Use Access Tokens enhance security by mitigating request spoofing and replay attacks, ensuring actions are performed by the intended user."],["These tokens function as unique keys, valid for a specific action and user, verified before the action is executed and invalidated afterward."],["Access tokens are transmitted via the `url` property of the `HttpActionHandler`, requiring developers to include an `accessToken` parameter for verification."],["To ensure security, a unique combination of `requestId` and `accessToken` should be pre-generated, with any request lacking the correct token being rejected."],["Upon successful execution of a request with a valid token, subsequent requests using the same token should be denied to prevent replay attacks."]]],["The core concept is using Limited-Use Access Tokens to secure user actions. A unique token, tied to a specific action and user, is added to request parameters (e.g., in a URL). Before an action executes, the system verifies the token's validity and user association. Valid tokens are then invalidated to prevent reuse. The system should generate the access token, ensuring it's unpredictable from the request ID and reject requests with missing or invalid tokens.\n"]]
