API密钥内容加密

我刚开始尝试RESTful API

通常，存在两种类型：需要API密钥的开放API和私有API。API键的具体用途是什么？他们也能确保数据加密吗？我很困惑，因为一些API提供商有两套密钥，一套是公共的，另一套是私有的，可能也指向数据和内容安全

---

总之，如果我使用RESTful API及其密钥查询数据库，我从数据库收到的响应将是安全/加密的，或者API密钥仅用于验证请求源？

API密钥通常用于标识和身份验证，而不是加密。客户机将它们包含在请求中，因此服务器可以确定是哪个客户机发出请求，并确信调用确实来自该客户机

（有时API密钥用于标识，有时不用于标识。可以将API密钥设置为密码，因此客户端还需要使用用户名或客户端ID来标识自己。但趋势是不必担心这一点，只需发布足够复杂的API密钥，使其在所有用户中都是唯一的。）

在最简单的情况下，服务器只需查找API密钥并返回一个用户ID。这通常发生在服务器请求-响应周期的开始，在此之后，客户端ID可用于任何进一步的检查和日志记录，因此API密钥不再相关

---

就数据加密而言，不清楚为什么要在服务器端进行加密。加密密码是很常见的，而且加密API密钥也是很好的做法，但这些只是凭证。您通常不会加密服务器上的实际数据。它可以作为“主机验证托管”的一种手段，在这种情况下，客户端不想用数据信任服务器，但这严重限制了服务器的功能。

这个问题可能更适合于感谢一个千夫所指的人。.我终于开始了解API及其密钥了。。然而，让我困惑的是，他们如何解释两把钥匙的使用，有什么想法吗？？我最初以为他们是用这个来加密数据的……所以，如果我必须使用他们的API（比如说验证用户），那么这两个密钥中的哪一个会向服务器识别/验证我？二者都那怎么办？如果只有一个……那么另一个有什么用呢？我正在为一个项目研究API和它们的实现..所以请原谅我的noob问题-p他们使用一个密钥进行身份识别，使用一个单独的秘密进行身份验证，而不是仅仅使用一个（更长时间+保证唯一的）API密钥来完成这两项工作，这与Twitter类似，Twitter对开发者帐户注册的每个应用程序都使用这种方案。一旦进行身份验证，他们可能只关心密钥（及其关联的客户端记录）。