โทเค็นเพื่อการเข้าถึงแบบจำกัด

โทเค็นเพื่อการเข้าถึงแบบจํากัดจะช่วยป้องกันการปลอมแปลงคําขอและการโจมตีแบบเล่นซ้ําเพื่อให้มั่นใจว่าจะมีการดําเนินการโดยผู้ใช้เมื่อมีการส่งข้อความ คุณจะได้รับการป้องกันโดยการเพิ่มพารามิเตอร์โทเค็นที่ไม่ซ้ํากันลงในพารามิเตอร์คําขอและยืนยันเมื่อมีการเรียกใช้การทํางาน

คุณควรสร้างพารามิเตอร์โทเค็นเป็นคีย์ที่ใช้ได้เฉพาะกับการกระทําบางอย่างและผู้ใช้บางรายเท่านั้น ก่อนดําเนินการตามที่ขอ คุณควรตรวจสอบว่าโทเค็นถูกต้องและตรงกับโทเค็นที่คุณสร้างขึ้นสําหรับผู้ใช้ หากโทเค็นตรงกัน ก็จะดําเนินการและโทเค็นไม่ถูกต้องสําหรับคําขอในอนาคต

ควรส่งโทเค็นเพื่อการเข้าถึงให้กับผู้ใช้ที่เป็นส่วนหนึ่งของพร็อพเพอร์ตี้ url ของ HttpActionHandler เช่น หากแอปพลิเคชันจัดการคําขออนุมัติที่ http://www.example.com/approve?requestId=123 คุณควรพิจารณารวมพารามิเตอร์ accessToken เพิ่มเติมไว้ในรายการและฟังคําขอที่ส่งไปยัง http://www.example.com/approve?requestId=123&accessToken=xyz

ชุดค่าผสม requestId=123 และ accessToken=xyz คือชุดค่าผสมที่คุณจําเป็นต้องสร้างล่วงหน้า โปรดตรวจสอบให้แน่ใจว่าไม่สามารถอนุมาน accessToken จาก requestId ได้ คําขออนุมัติที่มี requestId=123 ไม่มี accessToken หรือที่มี accessToken ไม่เท่ากับ xyz ควรถูกปฏิเสธ เมื่อดําเนินการตามคําขอแล้ว ระบบจะปฏิเสธคําขอในอนาคตที่มีรหัสและโทเค็นการเข้าถึงเดียวกันด้วย