Sto lavorando su un'API web. Utilizzeremo Hmac256 per l'hashing della firma. Da quello che posso raccogliere, il segreto è una chiave usata per inizializzare l'algoritmo di hash (cioè per generare un numero casuale). Il sale viene aggiunto al contenuto, per renderlo più difficile da decrittare.
L'API verrà utilizzata da alcuni client e i dati non sono molto sensibili (per ora). Faremo il filtraggio IP sul nostro server.
Qual è la migliore pratica, usando un sale, un segreto o entrambi? È un po 'complicato per il cliente avere entrambi credo.