Зачем использовать API-ключ и секрет?
Я сталкивался со многими API, которые дают пользователю как APIkey иsecret, Но мой вопрос: в чем разница между обоими?
На мой взгляд, одного ключа может быть достаточно. Скажем, у меня есть ключ, и только я и сервер это знаем. Я создаю HMAC-хэш с этим ключом и выполняю вызов API. На сервере мы снова создаем хеш HMAC и сравниваем его с отправленным хешем. Если это так, вызов аутентифицирован.
Так зачем использовать две клавиши?
Edit: или этот ключ API используется для поиска секрета API?