Ursprünglich hatte ich geplant, dass mein Script am Server, das die ganze Verschlüsselung macht, den Token abspeichert zusammen mit der validUntil Timestamp.
Fordert der (Web/HTML/JavaScript) Client einen Token an zwecks Authentifizierung über Websocket, schaut der Server nach, ob der Token noch gültig ist und liefert diesen dann ggf. aus dem "Cache".
Nur, wenn er nur noch <24 Stunden gültig ist, holt er sich einen neuen vom Miniserver.
Das funktioniert aber nicht!
Nachdem man sich einen Token geholt hat, muss man sich auch sofort über den Websocket authentifizieren und der Token bleibt dann nur für diese Verbindung gültig!
Wird der Websocket geschlossen, kann man sich nach erneutem öffnen nicht erneut mit dem Token authentifiziern!
Besonders idiotisch ist dieses Verhalten, wenn man keinen Websocket, sondern HTTP Requests mit Token-Authentifizierung nutzen möchte.
Hier ist der Token nur für einen einzigen (Steuerungs-)Befehl gültig nach der Authentifizierung!
Keine Ahnung, was sich Loxone dabei gedacht hat!

Aber für HTTP Requests kann man sich diesen Mist mit dem Token sowieso sparen und ganz einfache HTTP Basic Auth nutzen.
(z.B. "http://user:mypassword@192.168.0.21/dev/sps/io/VIBueroSpots/Impuls");
Kommentar