Вот Вы говорите, что: "В запросе передаётся только api key, параметры например usrid и сигнатура (хэш). Причём для формирования хэша используется именно секретный ключ, который известен только отправителю и получателю.
Это позволяет предотвратить подмену запросов, так как принимающая сторона может сверить хэш, и в случае чего понять что данные запроса были изменены."
Что мешает злоумышленнику отправить тот же api key, параметры например usrid и сигнатура (хэш), на сервере где будет проходить проверка, он же пройдет проверку сигнатуры. Что в этом случае?
Это позволяет предотвратить подмену запросов, так как принимающая сторона может сверить хэш, и в случае чего понять что данные запроса были изменены."
Что мешает злоумышленнику отправить тот же api key, параметры например usrid и сигнатура (хэш), на сервере где будет проходить проверка, он же пройдет проверку сигнатуры. Что в этом случае?