使用者如何通過基於 HMAC 的請求籤名獲得私鑰/公鑰？

我需要實現請求的 HMAC 簽名，我已經閱讀了這篇文章，它解釋了它的基礎知識以及如何在理論上實現。 https://blog.andrewhoang.me/how-api-request-signing-works-and-how-to-implement-it-in-nodejs-2/ 但我不知道使用者最初是如何獲得他們的公共/私人的密鑰對。是在登錄期間還是在註冊期間？他們會改變嗎？如果是，您如何向他們發送新的私鑰？

每個站點、使用者和伺服器都會生成他們的公鑰和私鑰，並通過發送公鑰來公佈它們。這可以在註冊過程中執行。伺服器不應該為使用者生成密鑰，否則，伺服器必須是完全信任的，你必須以某種方式安全地發送私鑰。

您可以使用 Diffie-Hellman 密鑰交換協議或橢圓曲線 Diffie-Hellman來生成要在 HMAC 或任何其他過程中使用的密鑰。

由於中間人攻擊，您可能需要應用改進版本；站到站協議

引用自：https://crypto.stackexchange.com/questions/64039