所以我正在尝试针对第三方网络应用进行身份验证。使用此第三方Web应用程序的文档建议使用我们的第三方Web应用程序提供的安全密钥并使用salt进行哈希处理。然后,他们希望我们将生成的盐与散列的安全密钥一起传递,该密钥在URL中称为秘密。我的理解是第三方Web应用程序然后将使用安全密钥并使用URL中提供的salt对其进行哈希,以查看它是否与URL中传递的秘密相匹配。这似乎是一个重大的安全风险。有人可以解释为什么这会或不会成为安全隐患?
文件 http://wiki.kayako.com/display/DEV/Kayako+REST+API
样品申请
https://example.domain.com/api/index.php
?e=/Module/Controller/Action
¶meterA=valueA
¶meterB=valueB
¶meterC=valueC
&apikey=d75a00ef-08b6-5b04-5d29-d3b7ca46138a
&salt=itobgt701t5nat7oor9z4t813edc5t8d
&signature=MzNiNjk4ZmUyY2FlNjQ5YmRkNjA0YjkyYTQ0NmY5OTQ4MGVkYTIwMzZjMzFkYmJjMzk4MzgzNjNiMzZjYTE4NQ==