[解決済み] REST認証とAPIキーの公開

質問

私はRESTについて読んでいて、それについての質問がSOにたくさんありますし、他の多くのサイトやブログにもあります。 しかし、私はこの特定の質問を見たことがありません...何らかの理由で、私はこのコンセプトを理解することができません...。

もし私がRESTful APIを構築していて、それをセキュアにしたい場合、私が見た方法の1つはセキュリティトークンを使用することです。 私が他のAPIを使用したとき、トークンと共有シークレットがありました...理にかなっています。 私が理解していないのは、レストサービス操作へのリクエストはjavascript（XHR/Ajax）を介して行われ、誰かがFireBug（またはブラウザの"ビューソース"）のような単純なものでそれを嗅ぎつけ、APIキーをコピーし、キーと秘密を使用してその人になりすますことを防ぐ方法は何ですか。

どのように解決するのですか？

apiのsecretが明示的に渡されず、secretが の記号を使用します。 を生成するために使われます。サーバ側では、同じプロセスで署名が生成され、もし2つの 記号 が一致すれば、リクエストは正常に認証されます。 記号 だけがリクエストに渡され、秘密は渡されません。