Klíč aplikačního programovacího rozhraní (API) je jedinečný kód, který rozhraní API používá k identifikaci aplikace nebo uživatele, který ji volá. Klíče API se používají ke sledování a kontrole toho, kdo používá rozhraní API a jak je používá, a také k ověřování a autorizaci aplikací, podobně jako fungují uživatelská jména a hesla. Klíč API může být ve formě jednoho klíče nebo skupiny více klíčů. Uživatelé by se měli řídit osvědčenými postupy, aby zlepšili své celkové zabezpečení proti krádeži klíče API a vyhnuli se následkům spojeným s kompromitováním klíčů API.

API vs. clave API

Abychom pochopili, co je API klíč, musíme nejprve vědět, co je API. Aplikační programovací rozhraní neboli API je middleware, který umožňuje sdílení informací mezi dvěma nebo více aplikacemi. CoinMarketCap API například umožňuje jiným aplikacím získávat a používat data o kryptoměnách, jako je cena, objem a tržní kapitalizace.

Na druhou stranu API klíč může mít různé podoby. Může to být jeden klíč nebo skupina více klíčů. Tyto klíče používají různé systémy k ověření a autorizaci aplikace, podobně jako se používají uživatelské jméno a heslo. Klient rozhraní API používá tyto typy klíčů k ověření aplikace při volání rozhraní API.

Pokud chce například Binance Academy používat API CoinMarketCap, CoinMarketCap vygeneruje API klíč a použije jej k ověření identity Binance Academy (klient API), který požaduje přístup k API. Když Binance Academy přistupuje k CoinMarketCap API, musíte spolu s požadavkem odeslat klíč API do CMC.

Tento klíč API by měl používat pouze Binance Academy a neměl by být sdílen ani zasílán třetím stranám. Sdílení tohoto klíče API by umožnilo třetí straně přistupovat na CoinMarketCap jako Binance Academy, takže jakákoli akce třetí strany by vypadala, jako by pocházela z Binance Academy.

CoinMarketCap API může také použít tento klíč API k potvrzení, zda je aplikace oprávněna přistupovat k požadovanému zdroji. Vlastníci rozhraní API navíc používají klíče rozhraní API ke sledování aktivity rozhraní API, jako jsou typy požadavků, provoz a objem.

Co je to API klíč?

Klíč API se používá ke sledování a sledování toho, kdo používá rozhraní API a jak je používá. Termín „klíč API“ může označovat řadu věcí pro různé systémy. Některé systémy mohou mít jeden kód, zatímco jiné mohou mít více kódů pro jeden „klíč API“.

Jako takový je „klíč API“ jedinečný kód nebo skupina kódů, které rozhraní API používá k ověření a autorizaci uživatele nebo aplikace, která jej volá. Některé kódy se používají k autentizaci a jiné k vytváření kryptografických podpisů, které prokazují oprávněnost požadavku.

Tyto ověřovací kódy se souhrnně nazývají „klíč API“, zatímco kódy používané pro kryptografické podpisy mají různá jména, například „tajný klíč“, veřejný klíč nebo „soukromý klíč“. Autentizace zahrnuje identifikaci zúčastněných subjektů a potvrzení, že jsou tím, za koho se vydávají.

Autorizace na druhé straně specifikuje služby API, ke kterým je udělen přístup. Funkce klíče API je podobná funkci uživatelského jména a hesla účtu. Může se také spojit s dalšími bezpečnostními funkcemi pro zlepšení celkové bezpečnosti.

Vlastník API obvykle vygeneruje klíč API pro konkrétní entitu (další podrobnosti níže) a pokaždé, když je uskutečněno volání do koncového bodu API (vyžadující ověření uživatele, autorizaci nebo obojí), použije se příslušný klíč.

Kryptografické podpisy

Některé klíče API používají kryptografické podpisy jako další vrstvu ověření. Když chce uživatel odeslat určitá data do API, je možné k požadavku přidat digitální podpis generovaný jiným klíčem. Pomocí kryptografie může vlastník API ověřit, že se tento digitální podpis shoduje s odeslanými daty.

Symetrické a asymetrické podpisy

Data sdílená prostřednictvím rozhraní API lze podepsat pomocí kryptografických klíčů, které spadají do následujících kategorií:

Symetrické klávesy

Ty zahrnují použití tajného klíče k provádění jak podepisování dat, tak ověřování podpisu. U symetrických klíčů vlastník API často generuje klíč API a tajný klíč a služba API musí používat stejný tajný klíč pro ověření podpisu. Hlavní výhodou použití jediného klíče je, že je rychlejší a vyžaduje menší výpočetní výkon pro generování a ověřování podpisu. Dobrým příkladem symetrického klíče je HMAC (Hashed-Based Message Authentication Code).

Asymetrické klíče

Ty zahrnují použití dvou klíčů: jiného soukromého klíče a veřejného klíče, ale kryptograficky propojených. Soukromý klíč se používá k vygenerování podpisu a veřejný klíč k jeho ověření. Vlastník API generuje klíč API, ale je to uživatel, kdo generuje pár veřejného klíče a soukromého klíče. Vlastník API musí k ověření podpisu použít pouze veřejný klíč, aby soukromý klíč zůstal na místě a tajný.

Hlavní výhodou použití asymetrických klíčů je větší bezpečnost díky oddělení generování podpisu a ověřovacích klíčů. To umožňuje externím systémům ověřovat podpisy, aniž by je bylo možné generovat. Další výhodou je, že některé systémy asymetrického šifrování umožňují přidání hesla k soukromým klíčům. Dobrým příkladem je klíčový pár RSA (Rivest-Shamir-Adelman, iniciály jsou iniciály příjmení tvůrců).

Jsou klíče API bezpečné?

Odpovědnost za klíč API leží na uživateli. Klíče API jsou podobné heslům a mělo by se s nimi zacházet stejně opatrně. Sdílení klíče API je podobné sdílení hesla a jako takové by se nemělo provádět, protože by to ohrozilo účet uživatele.

Klíče API jsou často terčem kybernetických útoků, protože je lze použít k provádění důležitých operací v systému, jako je vyžadování osobních údajů nebo provádění finančních transakcí. Ve skutečnosti se vyskytly případy, kdy prohledávače úspěšně napadly databáze pomocí online kódu, aby ukradly klíče API.

Následky krádeže klíče API mohou být katastrofální a vést ke značným finančním ztrátám. Navíc, protože platnost některých klíčů API nevyprší, mohou je útočníci používat neomezeně dlouho, dokud nebudou klíče samotné odvolány.

Doporučené postupy při používání klíčů API

Vzhledem k jejich přístupu k citlivým datům a celkové zranitelnosti je bezpečné používání klíčů API kriticky důležité. Při používání klíčů API ke zlepšení jejich celkového zabezpečení můžete postupovat podle těchto doporučených postupů:

  1. Pokud je to možné, měňte klíče API často. To znamená, že musíte odstranit svůj aktuální klíč API a vytvořit nový. Na několika systémech je snadné generovat a mazat klíče API. Podobně jako některé systémy vyžadují, abyste si heslo měnili každých 30 nebo 90 dní, měli byste své API klíče měnit co nejčastěji.

  2. Použít seznam povolených IP adres: Když vytvoříte klíč API, vytvořte seznam adres IP, které mohou klíč používat (povolený seznam IP adres). Vytvořte také seznam blokovaných IP adres (černá listina IP). Takže i když je váš klíč API odcizen, nebude možné jej použít s nerozpoznanou IP.

  3. Používejte více klíčů API: Mít více klíčů a rozdělovat mezi ně odpovědnosti sníží bezpečnostní riziko, protože vaše zabezpečení nebude záviset na jediném klíči s velkým množstvím oprávnění. Můžete také nastavit různé seznamy povolených IP adres pro každý klíč, což dále snižuje vaše bezpečnostní riziko.

  4. Bezpečné ukládání klíčů API: Neukládejte klíče ve veřejných prostředích, na veřejných počítačích ani v jejich původním formátu prostého textu. Místo toho uložte každý z nich pomocí šifrování nebo správce tajných informací pro lepší zabezpečení a dávejte pozor, abyste je omylem neodhalili.

  5. Nesdílejte své klíče API. Sdílení klíčů API je podobné jako sdílení hesla. Tím poskytujete třetí straně stejná autentizační a autorizační oprávnění, která máte vy. Pokud jsou vaše hesla prozrazena, mohou být použita k hacknutí vašeho účtu. Klíč API by měl být používán pouze mezi systémem, který jej vygeneroval, a vlastníkem klíče.

Pokud je váš klíč API kompromitován, měli byste jej nejprve deaktivovat, abyste zabránili dalšímu poškození. Pokud dojde k jakékoli finanční ztrátě, pořiďte snímky obrazovky klíčových informací souvisejících s incidentem, kontaktujte související subjekty a podejte policejní oznámení. To je nejlepší způsob, jak zvýšit své šance na vrácení ztracených finančních prostředků.

Závěry

Klíče API poskytují základní autentizační a autorizační funkce, takže uživatelé by měli své klíče spravovat a chránit pečlivě. Existuje mnoho vrstev a aspektů, které zajišťují bezpečné používání klíčů API. Obecně by se však s klíčem API mělo zacházet jako s heslem pro přístup k vašemu účtu.

Další čtení

  • Obecné zásady bezpečnosti

  • 5 běžných podvodů s kryptoměnami a jak se jim vyhnout