Я столкнулся со многими API-интерфейсами, которые предоставляют пользователю как API ключ, так и секрет. Но мой вопрос: в чем разница между обоими?
В моих глазах одного ключа может быть достаточно. Скажем, у меня есть ключ, и только я и сервер это знают. Я создаю хэш HMAC с этим ключом и выполняю вызов API. На сервере мы снова создаем хэш HMAC и сравниваем его с отправленным хэшем. Если это то же самое, вызов аутентифицируется.
Так зачем использовать два ключа?
Изменить: или это ключ API, используемый для поиска секретности API?