Sto sviluppando un sistema API che fornisce funzionalità per un gioco. Al momento utilizziamo HMAC per impedire la simulazione di richieste (diciamo, impediamo agli hacker di simulare il gioco) ma poiché abbiamo riscontrato alcuni problemi con HMAC, ho pensato che sarebbe stato meglio usare una password temporanea. Come fa Google Authenticator.
Mi piacerebbe sapere che questo è un buon approccio per utilizzare TOTP per generare una password temporanea dal client e inviarla al server tramite richiesta HTTP e convalidarla sul server? L'obiettivo è impedire la simulazione o l'invio di richieste da parte di client di terze parti.