Postman'e gerek yok, bahsettiğiniz işlem developer konsolu üzerinden bile yapılabilir.
Mümkünse oyuncunun oyunu kazanıp kazanmadığını PHP ile belirleyin. Değilse bir JavaScript kodu ile, rastgele oluşturulacak bir kodu kendi yazacağınız benzersiz fonksiyon ile hash'e çevirip, rastgele kod ve hash'i PHP'ye gönderip, kendi yazdığınız JS kodunun PHP versiyonu ile kodu tekrar hash'e çeviril AJAX ile gelen hash ile uyuşup uyuşmadığını kontrol edebilirsiniz. Bir kez kullanılan hash'i 24 saat süreyle kullanılamaz hale getirip koruma ekleyebilirsiniz. Hashleyeceğiniz kodu da kullanıcının sistem saati, IP adresi gibi bilgilerle oluşturup aynı kodun ikinci kez hashlenmemesini sağlayabilirsiniz. JavaScript'i pack etmeniz gerekecek. Ancak üst seviye biri bu sistemi kırabilir. Bu yüzden en iyisi oyuncunun kazanıp kazanmadığını PHP ile belirlemek.
Kullanılabilirlik açısından oyun JS olmalı. Öteki türlü kullanıcı kaybedeceğime inanıyorum.
Ek olarak, oluşturulacak token her işlemde tarayıcı tarafından alınabilir. bu sefer post giderken hash ile birlikte yollamak sistemi geçmek için yeterli olacaktır. js de oluşturduğumuz bi token veya hashi saklama şansımız olmadığını düşünüyorum.
yada böyle bir şansımız var ise tarayıcı tarafında nasıl saklanılabilir?
ben çözüm olarak alternatif şöyle birşey düşündüm; post yollanan php sayfasında oyuncunun tüm hareketlerini takip eden bir sistem.
yani slot oyununda yenebileceği oran belli, bu adam ardarda yeniyorsa hile yapıyor demektir. bunu algılayacak bir algoritma ile bi nebze önüne geçebilirim. ancak yine de adam bir defaya mahsus hileyi yapabilir. bu konuda bir fikriniz var mı?