Klíč aplikačního programovacího rozhraní (API) je jedinečný kód používaný v API k identifikaci volající aplikace nebo uživatele. Klíče API se používají ke sledování a kontrole toho, kdo a jak rozhraní API používá, a k ověřování a autorizaci aplikací – podobně jako fungují uživatelská jména a hesla. Klíč API může být jeden klíč nebo sada více klíčů. Uživatelé by se měli řídit osvědčenými postupy, aby zlepšili svou celkovou ochranu proti krádeži klíče API a vyhnuli se souvisejícím důsledkům kompromitace jejich klíčů API.
API a API klíč
Abyste pochopili, co je klíč API, musíte nejprve pochopit, co je API. Aplikační programovací rozhraní neboli API je softwarový prostředník, který umožňuje dvěma nebo více programům vyměňovat si informace. CoinMarketCap API například umožňuje jiným aplikacím získávat a používat data o kryptoměnách, jako je cena, objem a tržní kapitalizace.
Klíč API může mít různé formy. Může to být jeden klíč nebo sada více klíčů. V různých systémech se tyto klíče používají pro autentizaci a autorizaci aplikací stejným způsobem, jako se používají uživatelské jméno a heslo. Klíč API používá klient API k ověření aplikace volající rozhraní API.
Pokud chce například Binance Academy používat CoinMarketCap API, bude v CoinMarketCap vygenerován API klíč a použit k ověření Binance Academy (API klienta) požadujícího přístup k API. Když Binance Academy přistupuje k CoinMarketCap API, měl by být tento API klíč zaslán CoinMarketCap s požadavkem.
Tento klíč API by měl být používán pouze prostřednictvím Binance Academy a nesmí být sdílen ani zasílán ostatním. Sdílení tohoto klíče API umožní třetí straně přistupovat na CoinMarketCap jako Binance Academy a veškeré akce třetí strany budou vypadat, jako by pocházely z Binance Academy.
Klíč API může také použít CoinMarketCap API k potvrzení, že aplikace má povolen přístup k požadovanému zdroji. Vlastníci rozhraní API navíc používají klíče rozhraní API ke sledování aktivity rozhraní API, jako jsou typy požadavků, provoz a objem.
Co je to API klíč?
Klíč API se používá ke kontrole a sledování toho, kdo používá rozhraní API a jak se používá. Termín "klíč API" může pro různé systémy znamenat různé věci. Některé systémy mají jeden kód, jiné mohou mít více kódů pro jeden „klíč API“.
"Klíč API" je tedy jedinečný kód nebo sada jedinečných kódů používaných v API k ověření a autorizaci volajícího uživatele nebo aplikace. Některé kódy se používají k autentizaci, jiné se používají k vytváření kryptografických podpisů, které potvrzují oprávněnost požadavku.
Tyto ověřovací kódy se běžně označují jako „klíč API“, zatímco kódy používané pro kryptografické podpisy mají různá jména, jako je „tajný klíč“, „veřejný klíč“ nebo „soukromý klíč“. Autentizace zahrnuje identifikaci zúčastněných osob a potvrzení, že jsou tím, za koho se vydávají.
Autorizace na druhé straně určuje, ke kterým službám API je povolen přístup. Funkce API klíče je podobná funkci uživatelského jména a hesla účtu; lze jej také propojit s dalšími bezpečnostními prvky pro zvýšení celkové bezpečnosti.
Každý klíč API je obvykle generován pro konkrétní objekt vlastníkem rozhraní API (podrobnosti viz níže) a kdykoli je provedeno volání koncového bodu rozhraní API, které vyžaduje ověření uživatele nebo autorizaci nebo obojí, použije se odpovídající klíč.
Kryptografické podpisy
Některé klíče API používají kryptografické podpisy jako další vrstvu ověření. Když chce uživatel odeslat určitá data do API, může být k požadavku připojen digitální podpis generovaný jiným klíčem. Pomocí kryptografie může vlastník API ověřit, že se tento digitální podpis shoduje s odeslanými daty.
Symetrické a asymetrické podpisy
Data odeslaná prostřednictvím rozhraní API lze podepsat pomocí kryptografických klíčů, které spadají do následujících kategorií:
Symetrické klávesy
Jedná se o použití jediného tajného klíče k podepisování dat a ověřování podpisu. Při použití symetrických klíčů jsou klíč API a tajný klíč obvykle generovány vlastníkem rozhraní API a stejný tajný klíč musí služba API použít k ověření podpisu. Hlavní výhodou použití jediného klíče je, že se vše děje rychleji a vyžaduje menší výpočetní výkon pro generování a ověřování podpisu. Dobrým příkladem symetrického klíče je HMAC.
Asymetrické klíče
Jedná se o použití dvou klíčů: soukromého a veřejného klíče, které jsou různé, ale kryptograficky příbuzné. Soukromý klíč se používá k vytvoření podpisu a veřejný klíč se používá k ověření podpisu. Klíč API generuje vlastník rozhraní API a pár soukromých a veřejných klíčů generuje uživatel. Vlastník rozhraní API by měl k ověření podpisu používat pouze veřejný klíč, aby soukromý klíč zůstal místní a tajný.
Hlavní výhodou použití asymetrických klíčů je vyšší bezpečnost oddělení generování podpisu a ověřování klíče. To umožňuje externím systémům ověřovat podpisy, aniž by je bylo možné generovat. Další výhodou je, že některé systémy asymetrického šifrování podporují přidávání hesla k soukromým klíčům. Dobrým příkladem je pár klíčů RSA.
Jsou klíče API bezpečné?
Za API klíč je odpovědný uživatel. Klíče API jsou podobné heslům a mělo by se s nimi zacházet stejně opatrně. Sdílení klíče API je podobné sdílení hesla, a proto by nemělo být sdíleno s ostatními, protože by to ohrozilo účet uživatele.
Klíče API jsou běžně terčem kybernetických útoků, protože je lze použít k provádění výkonných operací v systémech, jako je vyžadování osobních údajů nebo finančních transakcí. Ve skutečnosti se vyskytly případy, kdy prohledávače úspěšně napadly online databáze kódů, aby ukradly klíče API.
Důsledky krádeže klíče API mohou být vážné a vést k významným finančním ztrátám. Navíc vzhledem k tomu, že platnost některých klíčů API nevyprší, mohou je útočníci po krádeži používat neomezeně dlouho, dokud nebudou klíče samotné odvolány.
Pokyny pro používání klíčů API
Vzhledem k jejich přístupu k citlivým datům a jejich obecné zranitelnosti je bezpečné používání klíčů API prvořadé. Při používání klíčů API ke zlepšení jejich celkového zabezpečení můžete postupovat podle těchto doporučených postupů:
Často měňte klíče API. To znamená, že musíte odstranit svůj aktuální klíč API a vygenerovat nový. Generování a mazání API klíčů je u většiny systémů poměrně snadné. Stejně jako některé systémy vyžadují, abyste si heslo měnili každých 30–90 dní, měli byste své API klíče měnit pokud možno stejně často.
Použít seznam povolených IP adres: Při vytváření klíče API vytvořte seznam adres IP, které mohou klíč používat (povolený seznam IP adres). Můžete také zadat seznam blokovaných IP adres (IP blacklist). Tímto způsobem, i když je váš klíč API odcizen, stále k němu nelze získat přístup pomocí neznámé IP adresy.
Používejte více klíčů API: Mít více klíčů a rozdělení odpovědností mezi nimi sníží bezpečnostní riziko, protože vaše zabezpečení nebude záviset na jediném klíči s rozšířenými oprávněními. Můžete také nastavit různé seznamy povolených IP adres pro každý klíč, což dále snižuje vaše bezpečnostní riziko.
Bezpečné ukládání klíčů API: Neukládejte klíče na veřejných místech, na veřejných počítačích ani ve formátu prostého textu. Místo toho uložte každý klíč se šifrováním nebo správcem hesel pro zvýšení bezpečnosti a dávejte pozor, abyste je náhodou neprozradili.
Nesdílejte své API klíče s nikým. Sdílení klíče API je podobné jako sdílení hesla. Tím udělujete své autentizační a autorizační oprávnění druhé straně. Pokud jsou kompromitovány, váš klíč API může být ukraden a použit k hacknutí vašeho účtu. Klíč API by měl být používán pouze mezi vámi a systémem, který jej generuje.
Pokud je váš klíč API kompromitován, musíte jej nejprve deaktivovat, abyste zabránili dalšímu poškození. Pokud dojde k finančním ztrátám, pořiďte snímky obrazovky klíčových informací souvisejících s incidentem, kontaktujte příslušné organizace a podejte policejní oznámení. To je nejlepší způsob, jak zvýšit své šance na vrácení ztracených finančních prostředků.
Výsledky
Klíče API poskytují základní autentizační a autorizační funkce a uživatelé by měli své klíče pečlivě spravovat a zabezpečit. Existuje mnoho vrstev a aspektů pro zajištění bezpečného používání klíčů API. Obecně platí, že klíč API by měl být považován za heslo k vašemu účtu.
Související články
Obecné zásady bezpečnosti
5 běžných podvodů s kryptoměnami a jak se jim vyhnout
