ЕвгенийВsqlaskПридумала. Сделала открытый-закрытый ключ.
Шифрую подпись открытым, втыкаю в http-header и передаю при каждом обращении.
На серваке дешифрую закрытым.
Фигня полная.
Подпись должна шифроваться закрытым, а дешифровываться открытым.
По-русски это назвается закрытый и открытый взаместо прайват и паблик ключи? :)
Да там вообще, конечно, перл, что ТС придумала: там и шифрование, и http-header, и публичный с приватным ключами. Зоопарк в общем, без общих принципов понимания всего того, что перечислено.

А для начала нужно вообще понять, чего же такого ТС хотела?

sqlaskКак бы мне сделать общение с web api с использованием закрытого ключа?
Что Вы подразумеваете под использованием закрытого ключа в данном контексте? Вы про токен аутентификации имеете в виду?

sqlaskДопустим, при обращении к web api она отсылает некое шифрованное значение и ждет ответ.
Простите, кто 'она'? И вы о шифровании или аутентификации все-таки? Это-таки действительно две разные вещи.

sqlaskЕсли к одному ресурсу обращается миллион пользователей, как сама служба может запомнить, кому какое значение она выслала?
Судя по все тут все-таки речь об аутентификации идет. Почитайте об oAuth, если я правильно понял, Вам нужно именно это, а не какие-то открытые и закрытые ключи.