Я сталкивался со многими API, которые дают пользователю как API ключ , так и секрет . Но мой вопрос :в чем разница между ними?
На мой взгляд, одного ключа может быть достаточно. Допустим, у меня есть ключ, и его знают только я и сервер. Я создаю хэш HMAC с этим ключом и выполняю вызов API. На сервере снова создаем хэш HMAC и сравниваем его с отправленным хешем. Если это то же самое, вызов аутентифицируется.
Так зачем использовать два ключа?
Изменить:или этот ключ API используется для поиска секрета API?