gpt4 book ai didi

rest - 为什么许多 Web API 中既有 key 又有 secret ?

转载 作者:行者123 更新时间:2023-12-03 20:17:47 26 4
gpt4 key购买 nike

许多 Web REST API 为您提供 key 和 secret 。当您向 API 发出请求时,您必须返回它们 两者 .这有什么用?其中之一还不够吗?

  • 这不是公钥/私钥交换:你给他们两个,对吗?
  • 您也不会像在许多散列算法中那样使用 key 对内容进行散列并计算其他值:您总是返回相同的 key 和 key 。

  • 我唯一能找到的就是 How to use a key and secret for verification? 的答案这表示服务器可以廉价地使用 key 散列您的域(或者可能是用户名或其他东西)并检查它是否与 key 匹配。真的有这个用处吗?

    (奖金是这种机制的名称。它似乎与我在 stackoverflow/wikipedia 上找到的关于加密机制的内容不符。)

    更新 :答案和一些评论告诉我,在请求中同时传递 key 和相应的 secret key 是一个坏主意。它确实发生在实践中,但它仍然是一个坏主意。

    最佳答案

    你会说 HMAC Authentication key您提到的是类似于您的帐户名,它不会直接用于任何身份验证。 secret将严格离线共享,永远不会发回。在 HMAC 身份验证中,您发回从服务器和客户端之间同意的一组参数派生的签名,当然还有 secret是其中的一部分。

    关于rest - 为什么许多 Web API 中既有 key 又有 secret ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12586147/

    26 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com