Зачем использовать ключ и секрет API?

Я сталкивался со многими API, которые дают пользователю как API ключ , так и секрет . Но мой вопрос :в чем разница между ними?

На мой взгляд, одного ключа может быть достаточно. Допустим, у меня есть ключ, и его знают только я и сервер. Я создаю хэш HMAC с этим ключом и выполняю вызов API. На сервере снова создаем хэш HMAC и сравниваем его с отправленным хешем. Если это то же самое, вызов аутентифицируется.

Так зачем использовать два ключа?

Изменить:или этот ключ API используется для поиска секрета API?