Me preguntaba si sería una forma efectiva de asegurar una API al exigir que todas las solicitudes sean sumadas, con la contraseña del usuario (o una versión con hash). Con la protección me refiero a hacer que sea "imposible" para un tercero realizar solicitudes en nombre de otra persona o alterar el contenido. El contenido de la solicitud no sería privado.
Imagine una API que le permita a un usuario guardar un texto, luego la solicitud (que contiene la identificación del usuario, el texto, otra información) se incluiría junto con la contraseña del usuario que actúa como un secreto común y no codificado Un cliente y el servidor. El servidor luego verifica si la suma de comprobación es correcta y sabe que la solicitud no se ha modificado y se origina en ese usuario.
¿Es esto algo que se hace comúnmente y, si es una mala idea, por qué y qué se puede hacer en su lugar?