Это хороший выбор - использовать ECDSA для подписи запросов API, учитывая следующие условия:
- Только клиенты должны иметь возможность создавать подписи
- Проверка целостности запросов должна выполняться,например.мы должны знать, была ли инициирована повторная атака
- Если база данных ключей будет скомпрометирована, клиентские ключи все равно должны быть действительными.
Подпись производится из конечной точки запроса + params+ метка времени.Хешировано и подписано.
Что вы, ребята, думаете?