Comprendo che molte API sono protette utilizzando un API Key
(possibilmente pubblico) per identificare chi sta effettuando la richiesta e un secret
per hmac i parametri e determinare se il client è effettivamente chi sostiene di essere .
Il fatto è che, se sono sicuro che API Key
è privato e utilizzo https
:
- Quali sono i rischi di non usare un segreto per "firmare" la richiesta?
- L'unico che mi viene in mente è un MiTM che modifica i parametri, ma non dovrebbe essere un problema se utilizzo HTTPS, giusto?
- È un altro livello di sicurezza, per sicurezza?