0
私が遭遇したいくつかのRESTサービスでは、APIキーや何らかの種類の共有秘密情報をダウンロードし、単にヘッダーでこれを渡す必要がありました。HMACは頻繁に間違って実装されていますか?
Google検索でこのデザインパターンを説明しようとすると、私が得意とするのは「HMAC」です。これは洗練されているようです。 HMACは、共有秘密情報をサーバーに直接送信しないように設計されており、秘密鍵を他のデータとハッシングすることが必要です。
私は何を見ていますか?それの名前はありますか?
IINMでは、ヘッダーで渡された(APIキー、「共有秘密」または「サーバーキー」)場合、おそらく送信されるHTTPS以上のものではなく、_Authorization_(APIにアクセスするため)に使用されます。署名/トークンを生成するために使用されるキー/共有秘密は、ヘッダーには公開されず、渡されません - いくつかの "メッセージ"(例えば、予期される送信者、受信者、データの "尊厳")を生成し、運送などで改ざんされていない)... – EdSF