限定用途的存取權杖

限定存取存取憑證可以防範要求假冒和重播攻擊，確保動作是由使用者寄出。如要獲得保護措施，請在要求參數中加入專屬權杖參數，並在叫用動作時驗證該參數。

符記參數只能用於特定動作以及特定使用者的金鑰。在執行要求的動作之前，您應檢查憑證是否有效，且與您為使用者產生的憑證相符。如果權杖相符，就能執行該動作，而且日後請求將失效。

存取存取憑證應做為 HttpActionHandler 的 url 屬性的一部分傳送給使用者。例如，如果您的應用程式在 http://www.example.com/approve?requestId=123 處理核准要求，請考慮在其中加入額外的 accessToken 參數，並監聽傳送至 http://www.example.com/approve?requestId=123&accessToken=xyz 的要求。

您必須事先產生 requestId=123 和 accessToken=xyz 組合，以確保 accessToken 不會與 requestId 合併。任何含有 requestId=123 且無 accessToken 或 accessToken 不等於 xyz 的核准要求都應遭到拒絕。這項要求處理完畢後，日後也應拒絕所有具有相同 ID 和存取憑證的請求。