Am Ende jeglicher Logik steht genau 1 Request mit einer URL, die man abfangen und wiederholen kann. Oder noch passend manipulieren. Vollkommen ohne Analyse deines Codes.

Falsch. Ohne die Analyse würde der Aufruf der 2.php auch mit dem berechtigten Accountnamen nur den Code liefern - nicht aber die Umgebung bereitstellen, die dieser Code erwartet.

Was könnte ich in dieser Umgebung mit PHP an Hindernissen aufbauen, war daher meine Frage ...

Und "Nichts" war unsere Antwort.

Wenn du nur die simple Rückgabe des Codes als Problem ansiehst, kann natürlich *deine* Antwort nicht anders lauten. Danach hatte ich aber auch nicht gefragt. Die Rückgabe des Codes soll eben nicht nur von der Übergabe des Accountnamens abhängen.

Ich weiss auch, dass es die absolut sichere Lösung in diesem Umfeld nicht geben kann.

Meine Hoffnung war (bzw. ist immer noch, da ich auf die diesbezügliche Frage noch keine Antwort erhalten habe), dass ich auf der Server-Seite den Aufruf der 1.php und der 2.php miteinander in Beziehung setzen kann, ich also in der 2.php überprüfen kann, dass die 1.php gerade unmittelbar zuvor von dem gleichen Client aufgerufen wurde. Mit der IP-Adresse bekomme ich es jedenfalls nicht hin. Gibt es da wirklich nichts, was auch in dem beschriebenen Umfeld funktioniert (von mir aus auch mit einer höheren PHP Version ...)?

Oder ein völlig anderer Ansatz, der den Gegebenheiten gerecht wird.

Manchmal muss man sich auch mit weniger als 100% zufrieden geben ...

Ralf