标签: authentication
我正在阅读有关HAWK身份验证的信息。如果我理解正确,则客户端和服务器基于MAC进行通信。此MAC是在客户端使用ID和长键创建的,必须与时间戳一起使用。
我不明白的是,我们如何保持这个秘密秘密?如果有人查看客户端(浏览器)的来源,他们将看不到此密钥吗?他们不能基于它创建MAC吗? 与密码有什么不同?我们不能期望用户记住长键作为密码。