Бедный программист

Сотни раз приходилось вводить эти цифры на каком-нибудь сайте и никогда не задумывался что за ними стоит. Как сервис проверяет, что вы ввели правильный код? Он что, каждый раз спрашивает у гугла? Да нет же, быть того не может, так никакого гугла не хватит. Действительно, как? Стыдно признаться, но до недавнего времени не задумывался над этим. И вот, на работе выпала задача по интеграции второго фактора авторизации в нашем SGX-анклаве, а так это embedded и вообще писать надо на C++, то придется разбираться как это работает...

По работе мне довольно часто приходится сталкиваться с различного рода криптографическими штуками. И вот как-то раз возникла необходимость сделать интеграцию с рядом криптобирж. API этих бирж не используют никакие token-аутентификации, как принято делать в вебе. В таких случаях больше подходит HMAC-based аутентификация. Причины ясны - не нужно поддерживать токены на бэкенде, следить за их экспирацией и прочее. Достаточно только один раз выдать API-ключ клиенту, сохранить его у себя и все. В таком...