Я только начинаю думать о том, как работают API-ключи и секретные ключи. Всего 2 дня назад я подписался на Amazon S3 и установилПлагин S3Fox, Они попросили у меня и мой ключ доступа, и секретный ключ доступа, оба из которых требуют от меня входа в систему для доступа.

Поэтому мне интересно, если они спрашивают меня о моем секретном ключе, они должны хранить его где-то правильно? Разве это не то же самое, что запрашивать у меня номера кредитных карт или пароль и сохранять их в собственной базе данных?

Как должны работать секретные ключи и ключи API? Насколько секретными они должны быть? Эти приложения как-то хранят секретные ключи?

Спасибо за понимание.