In meiner täglichen Arbeit habe ich sehr viel mit JWT und OAuth zu tun, eigentlich schade dass man da bisher noch nicht vorher mal auf die Idee gekommen ist dass für MTA zu nutzen, da es doch eine recht große Sicherheit bietet.
Sind in Zukunft noch weitere Tokenabstraktionen geplant? (AccessToken, RefreshToken, IdentyToken usw...) Wie lange sind die Token gültig, kann man die Dauer selbst definieren?
Wirklich sicher ist das Ganze ja nur wenn die Signaturebene geheim bleibt, kann man sich dazu Modulseitig dann eigene Signaturregeln definieren?
Ich verstehe auch nicht so ganz, welchem Zweck es dient.
Man kann das ganze sogar noch weiter treiben, so ein Token besteht aus einem Header, Body und einer verschlüsselten Signatur. In dem Body kann man Daten jeglicher Art unterbringen, man könnte also schützenswerte Daten sicher zwischen verschiedenen Servern teilen, auf jegliche Art von Webservice pumpen usw. Das System ist solange die Signierung nicht bekannt ist, äußert Missbrauchssicher und nur schwer auszuhebeln.
Edit: Um die Sicherheit noch weiter zu erhöhen, kann man noch signierte Timestamps mit einbeziehen. So fällt jeder abgefangene Request und eine möglicherweise manipulierte Payload definitiv auf die Nase. Aber ich glaube für ein Spiel würde das zu weit gehen, glaube auch nicht dass die kriminelle Energie und das Wissen darum in so einer gekapselten Community groß genug ist.