为什么在许多Web API中既有密钥又有秘密？

概述许多Web REST API为您提供密钥和秘密.当您向API发出请求时,您必须同时返回它们.有什么用？他们中的其中一个不够吗？ >这不是公钥/私钥交换：你给他们两个,对吗？ >你也没有使用秘密散列内容并计算其他值,就像在许多散列算法中一样：你总是给出相同的密钥和秘密. 我唯一能找到的就是对How to use a key and secret for verification?的回答说服务器可以用 许多Web REST API为您提供密钥和秘密.当您向API发出请求时,您必须同时返回它们.有什么用？他们中的其中一个不够吗？

>这不是公钥/私钥交换：你给他们两个,对吗？
>你也没有使用秘密散列内容并计算其他值,就像在许多散列算法中一样：你总是给出相同的密钥和秘密.

我唯一能找到的就是对How to use a key and secret for verification?的回答说服务器可以用你的秘密便宜地哈希你的域(或者可能是用户名或其他东西)并检查它是否与密钥匹配.这真的有用吗？

(奖金将是这个机制的名称.它似乎与我在stackoverflow /维基百科上找到的关于加密机制的内容不相符.)

更新：答案和几条评论告诉我,在请求中传递密钥和相应的密钥是一个坏主意.它确实发生在实践中,但它仍然是一个坏主意.

解决方法 您将谈论HMAC身份验证您提到的密钥类似于您的帐户名称,它不会直接用于任何身份验证.秘密将严格脱机共享,永远不会发回.在HMAC身份验证中,您发回一个签名,该签名源自服务器和客户端之间商定的一组参数,当然秘密就是其中的一部分. 总结

以上是内存溢出为你收集整理的为什么在许多Web API中既有密钥又有秘密？全部内容，希望文章能够帮你解决为什么在许多Web API中既有密钥又有秘密？所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。