Sto cercando modi per proteggere la comunicazione http usando HMAC. La mia comprensione è che in questo scenario il cliente e il server conoscono entrambi un segreto. Ciò significa che il segreto deve essere prima generato sul client (o sul server? Importa da che parte?). A questo punto solo un lato ha il segreto. Come passa il segreto dall'altra parte (o se non viene passato una volta come mai lo si conosce)? Non sarebbe stato necessario inviarlo attraverso una volta sola? In quale altro modo il segreto sarebbe mai stato conosciuto sia dal client che dal server? Se inviarlo durante l'inizializzazione è di fatto la cosa da fare, come può essere fatto in modo sicuro?
Ora mi rendo conto che un canale separato potrebbe essere usato come e-mail, ecc., ma se fosse necessario utilizzare HMAC per stabilire automaticamente il coinvolgimento dell'utente?