Por favor, proporcione a los profesionales de la firma de las solicitudes de http api. Por ejemplo, Amazon requiere que se firmen las solicitudes de sus API web.
Si el tráfico no está encriptado, entonces una firma puede probar su identidad como titular de una clave secreta y evitar la manipulación indebida de la solicitud. Pero ¿qué pasa con https? ¿Por qué utilizar la carga útil de solicitud en este caso?
En su pregunta, en cierto modo, lo ha respondido: HTTPS proporciona cifrado, lo que evita la manipulación de la solicitud en muchos casos, pero no demuestra nada sobre la identidad de la persona que realiza la solicitud en primer lugar ( a menos que se use la autenticación de certificado de cliente, lo que no es particularmente común).
Al hacer que el usuario firme las solicitudes, puede estar más seguro de que el usuario es quien dice ser (o, al menos, alguien que ha robado sus datos de clave secreta).
Lea otras preguntas en las etiquetas digital-signature tls http amazon