Estoy desarrollando un sistema de API que proporciona funcionalidades para un juego. Actualmente, estamos usando HMAC para evitar simular las solicitudes (digamos, evitar que los piratas informáticos simulen el juego), pero debido a que tuvimos algunos problemas con HMAC, pensé que podría ser mejor usar una contraseña temporal. Lo mismo que hace Google Authenticator.
Me gustaría saber si este es un buen método para utilizar TOTP para generar una contraseña temporal del cliente y enviarla al servidor a través de una solicitud HTTP y validarla en el servidor. El objetivo es evitar la simulación o el envío de solicitudes de clientes de terceros.