我遇到的一些REST服务要求我下载一个API密钥或某种共享密钥,然后简单地将其传递给标题。
但是当试图在谷歌搜索中描述这种设计模式时,我得到的只是“HMAC”,它看起来更复杂; HMAC旨在永远不会将共享密钥直接发送到服务器,并涉及使用其他数据散列密钥。
那我在看什么?它有名字吗?
答案 0 :(得分:0)
你是对的,使用你描述的方式的API密钥不是HMAC。它通常被称为“API密钥身份验证”或一些类似的名称。 API密钥身份验证只是一个密码,通常作为标头和每个请求一起传递。
这只有在与HTTPS配对时才是安全的,这样任何观看流量的人都无法简单地读出API密钥。