>在某些情况下,可能需要服务器具有明文API密钥的持久存储,以满足可用性要求(Google和Twitter就是示例).
>在某些情况下,单独的API密钥根本不足以完成任何工作 – 另外需要有一个经过身份验证的帐户 – 因此API密钥本身的价值有限(因此价值低于密码).
>在许多情况下,API密钥在客户端应用程序中硬编码(特别是移动应用程序,几乎总是这样做)因此,当同一令牌可以简单地在服务器端添加额外保护时没有意义从客户端提取.
>安全行业尚未成熟.也许一旦黑客开始倾销API密钥,这样的想法可能会更加重视.

顺便说一句,我对最后一点非常认真.事实是,在他们背后有大量的支持之前,很多好的想法都不会成为现实.作为一个例子,我曾经在博客上写过一个相关主题 – protecting user confidential information by hashing it in the database,但在合法用户登录时可以恢复.我以Ashley Madison为例 – 在这种情况下,黑客更多地是在电子邮件地址之后,电话号码和物理地址而不是密码.因此,当黑客抢夺数据库时,他们立即得到了他们想要的东西,而且他们更不关心bcrypt编码的密码(实际上,一些旧的密码只用MD5进行编码！)不幸的是,像这样的概念没有足够的努力使它们成为现实.即使零知识网页设计在现实世界中也很少.