许多Web REST API为您提供密钥和秘密.当您向API发出请求时,您必须同时返回它们.有什么用?他们中的其中一个不够吗?
>这不是公钥/私钥交换:你给他们两个,对吗?
>你也没有使用秘密散列内容并计算其他值,就像在许多散列算法中一样:你总是给出相同的密钥和秘密.
我唯一能找到的就是对How to use a key and secret for verification?的回答说服务器可以用你的秘密便宜地哈希你的域(或者可能是用户名或其他东西)并检查它是否与密钥匹配.这真的有用吗?
(奖金将是这个机制的名称.它似乎与我在stackoverflow /维基百科上找到的关于加密机制的内容不相符.)
更新:答案和几条评论告诉我,在请求中传递密钥和相应的密钥是一个坏主意.它确实发生在实践中,但它仍然是一个坏主意.
最佳答案 您将谈论HMAC身份验证您提到的密钥类似于您的帐户名称,它不会直接用于任何身份验证.秘密将严格脱机共享,永远不会发回.在HMAC身份验证中,您发回一个签名,该签名源自服务器和客户端之间商定的一组参数,当然秘密就是其中的一部分.