В настоящее время мы работаем над игрой в java. Для аутентификации пользователей мы используем rest api, который я сделал в PHP.PHP Rest api security
Я использую сеансы для хранения UID, и игра хранит сеанс в CookieStore. Мы пришли к выводу, что это недостаточно безопасно. Мы думали о временном токене, но «нападавшие» каким-то образом смогут сами получить токены. Мы также могли бы использовать секретный ключ api, но злоумышленники могли бы реконструировать игру.
Мы хотим, чтобы никто не мог получить доступ к api, кроме нашей игры.