#api #web #api-key #secret-key
Вопрос:
Мне интересно, почему при разработке общедоступных API разработчики обычно используют два разных ключа: ключи API / секреты API;
Насколько я понимаю, ключ API используется для идентификации того, кто совершил вызов, а секрет API используется для аутентификации вызывающего абонента;
Мои вопросы в том, не является ли API достаточно секретным, чтобы сделать все это? Разве токен JWT, используемый в качестве секрета, не может содержать как идентификатор вызывающего абонента, так и помочь аутентифицировать пользователя?
С уважением