401 scheidet aus, da es explizit zur Authentifizierung auffordern würde.

Und welches potenzielle Problem siehst du damit verbunden?

Es würde mMn zu einem zusätzlichen Roundturn auffordern.

Nein, der Webserver teilt nur mit: Hey, du bist nicht authentifiziert. Wenn du diese Aktion ausführen willst, sage mir wer du bist, dafür brauche ich die folgenden Daten…

Aber es bleibt nun bei 403. Das hat das alte System auch verwendet.

„Haben wir schon früher so gemacht“ ist ein schlechter Ratgeber. Andererseits ist 403 auch passend man muss sich nicht in Kleinigkeiten verlieren. Haken wir das Thema also ab.

Aber wieso überhaupt etwas eigenes? Konzeptionell ist dein Verfahren ähnlich zu Basic Auth, wieso nicht direkt ein existierendes Verfahren nehmen? Hat den Vorteil, dass man die Sicherheitsmerkmale direkt nachschlagen kann, anstatt den Programmcode interpretieren zu müssen. Außerdem gibt es für gängige Verfahren bereits erprobte Implementierungen.

Es sitzt noch ein Protokoll dazwischen. Das muss wieder eingehalten werden.

Vaider Punkt.

Die Tokens werden immer wieder ausgetauscht. Sie sind ja in den Sendegeräten gespeichert. Und die sind zeitweise unbeaufsichtigt. Da steckt die Schwachstelle im System. Wenn sich jemand so ein Gerät krallt, kann er mit dem Token noch einige Minuten lang Unsinn treiben.

Klingt als hättest du die Schwachstelle richtig erkannt, aber willst im Moment nichts dagegen tun. Für die Zukungt: Public Key oder JSON Web Token sind geeignetere Authentifizierungsverfahren für euren Anwendungsfall.

BTW: Ich hatte deinen Tipp mit der Lib übrigens weitergegeben und nun spielen die Kollegen die ganze Zeit damit, anstatt die wesentlichen Dinge fertg zu machen :-O

Schön zu hören :) Spielen ist ein Geniestreich der Evolution, damit wir Freude am Lernen haben.

Naja, da interessiert wohl am Meisten die Möglichkeit des Streamens. Die scheidet aber für unsere Anwendungsfälle in 90% sowieso aus. Es gibt bei den Sendestellen meistens nur LLN statt Highspeed-WWW (Langsames Land Netz), sprich DSL über alte POTS-Leitungen oder G3. Und wenn G5 mal kommt, wird das zu teuer sein.

Du missverstehst glaube ich den Begriff Streaming in diesem Kontext. Im allgemeinen Sprachgebrauch verknüpft man mit Streaming hauptsächlich das Hören von Musik oder das Ansehen von Filmen ohne sie vorher in Gänze heruntergeladen zu haben. In diesem technischen Kontext meint man damit aber ganz allgemein Informationen bei ihrem Eintreffen zu verarbeiten ohne bereits alle notwendigen Daten zur Verfügung zu haben. Das ist dann sinnvoll, wenn man nicht alle Daten in den Hauptspeicher laden möchte, sondern sie stückweise verarbeiten möchte. Gerade bei instabilen Netzwerk-Verbindungen kann man das auch nutzen, um einen unterbrochenen Download wieder fortzusetzen, ohne von vorne zu beginnen.

Ich wär ja auch neugierig, hab aber eine Terminvorgabe für das Grobkonzept.

Das Dilemma kenn ich. Mach deinen Mitarbeitern ein Angebot. Mach ihnen bspw. eine Zusage, dass Sie eine Schulung zum Thema bekommen oder dass ihr auf eine Konferenz fahrt, wo das Thema besprochen wird. Aber zunächst hat das laufende Projekt Priorität und Weiterbildungsmaßnahmen müssen warten. Das hält die Motivation hoch und nutzt eurer Firma auch mittelfristig, weil das Team neue Kompetenzen erwirbt.