Moin,

Der Zustand "Server ist sicher" existiert nicht.

man Knippex ;-)

Es existiert kein Unterschied zwischen dem einen und dem anderen Request. Daher existiert auch kein Weg, den einen zu erlauben, den anderen jedoch nicht.

Ack, so nicht. Der Königsweg wäre natürlich die Authorisierungsinformationen die zur Ausgabe des Links führten auch bei dem Ziel des Links verfügbar zu machen.

Ein ekliger Würgaround wäre eine Art Ticket-System: Das Skript das die Links ausgibt, generiert eine Zufallszahl die als Ticket zum Folgen des Links berechtigt. Diese Zahl speichert es zusammen mit der Uhrzeit (damit die Tickets nur eine bestimmte Gültigkeit haben) auf dem Server. Das Ziel kann dann anhand des Tickets bestimmen ob es den Request durchlassen soll (und entwertet das Ticket danach).