不传输 secret，调用 API 时，只传递 ak 和必要的数据。像阿里云 API，sk 是用作对称加密并进行消息签名，但我比较好奇的是，都说非对称加密安全性要高一些，为啥阿里云却选择了对称加密？
---
没用过阿里云的 API，通常用 ak 和 sk 做验证的 API，是只传 ak，用 sk 给消息体算签名（哈希算法），这样如果有中间人截获消息，没有 sk 没法算出正确的签名（哈希值），同时在消息体中包含时间戳防止重放攻击。

传输 secret，像 OAuth2 授权，在去获取 code 时，ak 和 sk 都要传递过去，那传递过程中不怕被截获吗？
---
如果中间人能够截获请求和响应，不管在不在请求里传 sk，只要拿到响应里的 access_token 就万事大吉了。就有了用户身份。

我的理解是，前者的响应是资源，保护的是用户身份。后者的响应就是用户身份，所以传不传的无所谓。

@amarant 您看回复了吗？假如以被猫咬了为理由去天才吧咨询，能免费修还是不能免费修，这不是碰瓷；都扯出来镀膜质量了，这还不是碰瓷吗？

您这...下次猫猫把手机拨拉地上屏碎了，是不是手机屏幕质量也不过关？下次猫猫把杯子拨拉地上打碎了，是不是杯子质量也不过关？合着生产个笔记本还得防猫咬，防电钻，防核弹。

@zhouweiluan 在 watch app 里看看是不是让健康 app 不让联网了，我遇到过支付宝不让联网，在 watch app 设置允许就好了。不知道为什么要从 watch app 的联网授权同步到手机上，也许国外手机 esim 不单独收费？

@SystemLight tornado 连 webserver 都带了，岂不是更重

@allin1 好像只是单次显示完整的 url，意义不大呀

@fengtons 看来都不用考虑了（狗头）

@dingwen07
@yousabuk
可能是国行才有