Hello,

401 scheidet aus, da es explizit zur Authentifizierung auffordern würde.

Es wird ein Token (32 Zeichen, 64 Möglichkeiten pro Digit) mitgesendet. Da das Ganze per https stattfindet, müsste damit relative Sicherheit gegeben sein. Und wenn jemand es per bruteforce versuchen sollte, soll er ja per iptables bzw. nft geblockt werden.

Außerdem wird das Postparametermuster verglichen, was sicher nur "Security by Obscurity" ist; aber es schadet nicht.

BTW: Ich hatte deinen Tipp mit der Lib übrigens weitergegeben und nun spielen die Kollegen die ganze Zeit damit, anstatt die wesentlichen Dinge fertg zu machen :-O

Glück Auf
Tom vom Berg