Mi chiedevo se sarebbe stato un modo efficace per proteggere un'API richiedendo il check-up di tutte le richieste, salate con la password degli utenti (o una versione hash)? Con la protezione intendo dire "impossibile" per una terza parte fare richieste in nome di qualcun altro o alterare il contenuto. Il contenuto della richiesta sarebbe non privato.
Immagina un'API che permetta a un utente di salvare un testo, quindi la richiesta (contenente l'id utente, il testo, altre informazioni) verrà sottoposta a hash insieme alla password dell'utente che funge da segreto comune e non codificato un client e il server. Il server controlla quindi se il checksum è corretto e sa che la richiesta non è stata modificata e proviene da tale utente.
Questo è qualcosa che viene comunemente fatto e se è una cattiva idea - perché e cosa invece può essere fatto?