Ho letto questo articolo su api di soundcloud:
link
Parla del consumo della tua API.
Quello che non capisco è come evitano di dare via la chiave segreta. Se di solito fornisci la chiave segreta a uno sviluppatore che la utilizzerà nella sua API, come ti dai la chiave segreta e non la divulga senza trasferirla sul filo?
Presumo che ci sia una nuova chiave segreta per ogni utente. Altrimenti ogni utente avrebbe la stessa chiave segreta e una nuova chiave pubblica e non sono sicuro che funzionerebbe.
Non sto parlando di sviluppatori. Sto parlando di utenti come noi di Stack Exchange (utenti effettivi dell'app stessa). La mia app consumerà la propria API. Ogni utente che si registra per l'app (presumo) otterrebbe una chiave privata e pubblica. Ogni chiamata all'API dovrebbe (potenzialmente) autenticare con una chiave pubblica e privata. Se in questa situazione l'utente è un utente regolare dell'app, come si ottiene la chiave privata per l'utente. O non è questo il modo migliore per farlo?