Я сталкивался со многими API, которые дают пользователю как APIkey иsecret, Но мой вопрос: в чем разница между обоими?

На мой взгляд, одного ключа может быть достаточно. Скажем, у меня есть ключ, и только я и сервер это знаем. Я создаю HMAC-хэш с этим ключом и выполняю вызов API. На сервере мы снова создаем хеш HMAC и сравниваем его с отправленным хешем. Если это так, вызов аутентифицирован.

Так зачем использовать две клавиши?

Edit: или этот ключ API используется для поиска секрета API?