Некоторые службы REST, с которыми я столкнулся, требуют, чтобы я загрузил ключ API или какой-то общий секрет и просто передал это с заголовками.Является ли HMAC часто внедренным неправильно?
Но при попытке описать этот шаблон дизайна в поиске Google все, что я получаю, это «HMAC», который выглядит более сложным; HMAC предназначен для того, чтобы никогда не отправлять общий секрет непосредственно на сервер и включает хеширование секретного ключа другими данными.
Итак, на что я смотрю? Есть ли имя для этого?
IINM, если он («ключ API», «общий секрет» или «серверный ключ») передается в заголовках, он используется для _Authorization_ (для доступа к API), в отличие от «пароля», более вероятного отправленного HTTPS. Ключи/разделяемые секреты, используемые для _sign или генерации токенов_, не отображаются и не передаются в заголовках - они используются с обеих сторон для генерации и проверки некоторого «сообщения» (например, ожидаемого отправителя, предполагаемого приемника, «святости» данных) не было подделано на транспорте и т. д.) ... – EdSF