Avevo un amico che diceva:
We're securing our microservice with an HMAC derived from the private key in the jks file. [Where client and server shared the same private key]
Riesco a capire la situazione in cui hai un HMAC da un segreto di breve durata, come uno derivato da Hashicorp Vault .
Ma se HMAC ha la stessa durata delle chiavi private, perché non proteggere il microservizio utilizzando SSL basato sulle chiavi private hai già installato?
La mia domanda è: C'è un valore nel firmare le chiamate microservice con un HMAC derivato dalla stessa chiave privata?