所以我正在尝试针对第三方网络应用程序进行身份验证。此第三方 Web 应用程序的文档建议使用第三方 Web 应用程序提供的我们的安全密钥并使用盐对其进行哈希处理。然后,他们希望我们将生成的盐与散列的安全密钥一起传递,该密钥在 URL 中被称为秘密。我的理解是第三方网络应用程序将使用安全密钥并使用 URL 中提供的盐对其进行哈希处理,以查看它是否与 URL 中传递的秘密匹配。这似乎是一个重大的安全风险。有人可以解释为什么这会或不会是安全风险吗?
文档 http://wiki.kayako.com/display/DEV/Kayako+REST+API
样品请求
https://example.domain.com/api/index.php
?e=/Module/Controller/Action
¶meterA=valueA
¶meterB=valueB
¶meterC=valueC
&apikey=d75a00ef-08b6-5b04-5d29-d3b7ca46138a
&salt=itobgt701t5nat7oor9z4t813edc5t8d
&signature=MzNiNjk4ZmUyY2FlNjQ5YmRkNjA0YjkyYTQ0NmY5OTQ4MGVkYTIwMzZjMzFkYmJjMzk4MzgzNjNiMzZjYTE4NQ==