Una tipica autenticazione API di solito si basa su una coppia di API ID + SECRET, la mia domanda è: se l'ID API è unico e generato casualmente ed è considerato abbastanza strong (ad es. SHA512), perché è necessario un SECRET?
Che cosa succede se, ho creato un'API che richiede solo un ID API per l'autenticazione, quale sarebbe lo svantaggio, soprattutto in termini di sicurezza?
Alcuni potrebbero dire che è facile revocare il SECRET senza modificare l'ID API, ma ciò non suona, poiché se è necessario aggiornare il SECRET, è necessario modificare il codice di configurazione / sorgente anche.
Internamente il programma API può ancora avere qualche ID univoco per identificare il client, ma questa informazione non ha bisogno di esporre al codice client , basta usare un singolo ID è sufficiente, giusto?
In realtà avrei considerato l'utilizzo di un singolo ID API più sicuro - dal momento che quando si cambia, è più difficile identificare il client (poiché non esiste un ID API costante)
Qualsiasi convocazione?