rest - 为什么许多 Web API 中既有 key 又有 secret ？

Question

许多 Web REST API 为您提供 key 和 secret 。当您向 API 发出请求时，您必须返回它们 两者 .这有什么用？其中之一还不够吗？

这不是公钥/私钥交换:你给他们两个，对吗？

您也不会像在许多散列算法中那样使用 key 对内容进行散列并计算其他值:您总是返回相同的 key 和 key 。

我唯一能找到的就是 How to use a key and secret for verification? 的答案这表示服务器可以廉价地使用 key 散列您的域(或者可能是用户名或其他东西)并检查它是否与 key 匹配。真的有这个用处吗？

(奖金是这种机制的名称。它似乎与我在 stackoverflow/wikipedia 上找到的关于加密机制的内容不符。)

更新 :答案和一些评论告诉我，在请求中同时传递 key 和相应的 secret key 是一个坏主意。它确实发生在实践中，但它仍然是一个坏主意。

Answer 1

你会说 HMAC Authentication key您提到的是类似于您的帐户名，它不会直接用于任何身份验证。 secret将严格离线共享，永远不会发回。在 HMAC 身份验证中，您发回从服务器和客户端之间同意的一组参数派生的签名，当然还有 secret是其中的一部分。