Kas ir API atslēga un kā to droši lietot?

TL;DR
Lietojumprogrammu saskarnes (API) atslēga ir unikāls kods, ko API izmanto, lai identificētu izsaucošo lietojumprogrammu vai lietotāju. API atslēgas tiek izmantotas, lai izsekotu un kontrolētu, kas izmanto API un kā viņi to izmanto, kā arī autentificētu un autorizētu lietojumprogrammas — līdzīgi kā darbojas lietotājvārdi un paroles. API atslēga var būt vienas atslēgas vai vairāku atslēgu kopas veidā. Lietotājiem ir jāievēro paraugprakse, lai uzlabotu savu vispārējo drošību pret API atslēgu zādzībām un izvairītos no ar to saistītajām sekām, kas saistītas ar viņu API atslēgu apdraudējumu.
API vs API atslēgaLai saprastu, kas ir API atslēga, vispirms ir jāsaprot, kas ir API. Lietojumprogrammu saskarne jeb API ir programmatūras starpnieks, kas ļauj divām vai vairākām lietojumprogrammām koplietot informāciju. Piemēram, CoinMarketCap API ļauj citām lietojumprogrammām izgūt un izmantot kriptogrāfijas datus, piemēram, cenu, apjomu un tirgus ierobežojumu.
API atslēgai ir daudz dažādu formu — tā var būt viena atslēga vai vairāku atslēgu kopa. Dažādas sistēmas izmanto šīs atslēgas, lai autentificētu un autorizētu lietojumprogrammu, līdzīgi kā tiek lietots lietotājvārds un parole. API klients izmanto API atslēgu, lai autentificētu lietojumprogrammu, kas izsauc API. 
Piemēram, ja Binance Academy vēlas izmantot CoinMarketCap API, CoinMarketCap ģenerēs API atslēgu un izmantos Binance Academy (API klienta) identitātes autentificēšanai, kas pieprasa API piekļuvi. Kad Binance Academy piekļūst CoinMarketCap API, šī API atslēga ir jānosūta CoinMarketCap kopā ar pieprasījumu. 
Šo API atslēgu drīkst izmantot tikai Binance Academy, un to nedrīkst kopīgot vai nosūtīt citiem. Šīs API atslēgas kopīgošana ļaus trešajai pusei piekļūt CoinMarketCap kā Binance Academy, un visas trešās puses darbības tiks parādītas tā, it kā tās būtu no Binance Academy.
API atslēgu var izmantot arī CoinMarketCap API, lai apstiprinātu, vai lietojumprogramma ir pilnvarota piekļūt pieprasītajam resursam. Turklāt API īpašnieki izmanto API atslēgas, lai pārraudzītu API darbības, piemēram, pieprasījumu veidus, trafiku un apjomu. 
Kas ir API atslēga? API atslēga tiek izmantota, lai kontrolētu un izsekotu, kas izmanto API un kā viņi to izmanto. Termins “API atslēga” dažādām sistēmām var nozīmēt dažādas lietas. Dažām sistēmām ir viens kods, bet citās vienai “API atslēgai” var būt vairāki kodi.   
Kā tāds “API atslēga” ir unikāls kods vai unikālu kodu kopa, ko API izmanto, lai autentificētu un autorizētu izsaucošo lietotāju vai lietojumprogrammu. Daži kodi tiek izmantoti autentifikācijai, bet daži tiek izmantoti kriptogrāfisku parakstu izveidošanai, lai pierādītu pieprasījuma likumību. 
Šos autentifikācijas kodus parasti dēvē par “API atslēgu”, savukārt kriptogrāfiskajiem parakstiem izmantotajiem kodiem ir dažādi nosaukumi, piemēram, “slepenā atslēga”, “publiskā atslēga” vai “privātā atslēga”. Autentifikācija ietver iesaistīto vienību identificēšanu un apstiprināšanu, ka tās ir tādas, par kurām viņi saka.
No otras puses, autorizācija norāda API pakalpojumus, kuriem ir atļauta piekļuve. API atslēgas funkcija ir līdzīga konta lietotājvārda un paroles funkcijai; to var savienot arī ar citiem drošības līdzekļiem, lai uzlabotu vispārējo drošību. 
Katru API atslēgu parasti ģenerē noteiktai entītijai API īpašnieks (sīkāka informācija zemāk), un katru reizi, kad tiek veikts izsaukums API galapunktam (kuram nepieciešama lietotāja autentifikācija vai autorizācija, vai abi), tiek izmantota attiecīgā atslēga.
Kriptogrāfiskie parakstiDažas API atslēgas izmanto kriptogrāfiskos parakstus kā papildu verifikācijas slāni. Ja lietotājs vēlas nosūtīt noteiktus datus API, pieprasījumam var pievienot ciparparakstu, ko ģenerē cita atslēga. Izmantojot kriptogrāfiju, API īpašnieks var pārbaudīt, vai šis ciparparaksts atbilst nosūtītajiem datiem.
Simetriskie un asimetriskie paraksti Datus, kas tiek kopīgoti, izmantojot API, var parakstīt ar kriptogrāfiskām atslēgām, kas ietilpst šādās kategorijās:
Simetriskas atslēgasTie ietver vienas slepenās atslēgas izmantošanu, lai veiktu gan datu parakstīšanu, gan paraksta pārbaudi. Izmantojot simetriskās atslēgas, API atslēgu un slepeno atslēgu parasti ģenerē API īpašnieks, un API pakalpojumam ir jāizmanto viena un tā pati slepenā atslēga paraksta pārbaudei. Atsevišķas atslēgas izmantošanas galvenā priekšrocība ir tā, ka tas ir ātrāks un prasa mazāku skaitļošanas jaudu parakstu ģenerēšanai un pārbaudei. Labs simetriskas atslēgas piemērs ir HMAC.
Asimetriskas atslēgasTie ietver divu atslēgu izmantošanu: privāto atslēgu un publisko atslēgu, kas ir atšķirīgas, bet kriptogrāfiski saistītas. Privātā atslēga tiek izmantota paraksta ģenerēšanai, bet publiskā atslēga tiek izmantota paraksta pārbaudei. API atslēgu ģenerē API īpašnieks, bet privātās atslēgas un publiskās atslēgas pāri ģenerē lietotājs. API īpašniekam paraksta pārbaudei ir jāizmanto tikai publiskā atslēga, tāpēc privātā atslēga var palikt lokāla un slepena. 
Galvenā asimetrisko atslēgu izmantošanas priekšrocība ir paraksta ģenerēšanas un verifikācijas atslēgu atdalīšanas augstāka drošība. Tas ļauj ārējām sistēmām pārbaudīt parakstus bez iespējas ģenerēt parakstus. Vēl viena priekšrocība ir tā, ka dažas asimetriskas šifrēšanas sistēmas atbalsta paroles pievienošanu privātajām atslēgām. Labs piemērs ir RSA atslēgu pāris. 
Vai API atslēgas ir drošas? Atbildība par API atslēgu gulstas uz lietotāju. API atslēgas ir līdzīgas parolēm, un tās ir jāizturas tikpat uzmanīgi. API atslēgas koplietošana ir līdzīga paroles kopīgošanai, un tādēļ to nevajadzētu darīt, jo tādējādi tiktu apdraudēts lietotāja konts. 
API atslēgas parasti tiek mērķētas uz kiberuzbrukumiem, jo ​​tās var izmantot, lai veiktu jaudīgas operācijas sistēmās, piemēram, pieprasītu personas informāciju vai veiktu finanšu darījumus. Faktiski ir bijuši gadījumi, kad rāpuļprogrammas veiksmīgi uzbrūk tiešsaistes kodu datu bāzēm, lai nozagtu API atslēgas.
API atslēgas zādzības sekas var būt krasas un radīt ievērojamus finansiālus zaudējumus. Turklāt, tā kā dažām API atslēgām nebeidzas derīguma termiņš, uzbrucēji pēc nozagšanas tās var izmantot neierobežotu laiku, līdz pašas atslēgas tiek atsauktas.
API atslēgu izmantošanas labākā prakseSakarā ar to piekļuvi sensitīviem datiem un to vispārējo ievainojamību, API atslēgu droša izmantošana ir ārkārtīgi svarīga. Izmantojot API atslēgas, varat ievērot šīs paraugprakses vadlīnijas, lai uzlabotu to vispārējo drošību. 
Ja iespējams, bieži mainiet API atslēgas. Tas nozīmē, ka jums ir jāizdzēš pašreizējā API atslēga un jāizveido jauna. Izmantojot vairākas sistēmas, ir viegli ģenerēt un dzēst API atslēgas. Līdzīgi kā dažās sistēmās ir jāmaina parole ik pēc 30 līdz 90 dienām, ja iespējams, API atslēgas jāmaina ar līdzīgu biežumu.
Izmantojiet IP balto sarakstu: kad veidojat API atslēgu, izveidojiet to IP sarakstu, kam ir atļauts izmantot atslēgu (IP balto sarakstu). Varat arī norādīt bloķēto IP sarakstu (IP melno sarakstu). Tādā veidā, pat ja jūsu API atslēga tiek nozagta, tai joprojām nevar piekļūt ar neatpazītu IP.
Izmantojiet vairākas API atslēgas: ja jums ir vairākas atslēgas un sadalīsiet pienākumus starp tām, samazināsies drošības risks, jo jūsu drošība nebūs atkarīga no vienas atslēgas ar plašām atļaujām. Katrai atslēgai varat arī iestatīt dažādus IP baltos sarakstus, tādējādi vēl vairāk samazinot drošības risku. 
Droši glabājiet API atslēgas: neglabājiet atslēgas publiskās vietās, publiskos datoros vai to sākotnējā teksta formātā. Tā vietā saglabājiet katru, izmantojot šifrēšanu vai slepeno pārvaldnieku, lai nodrošinātu labāku drošību, un uzmanieties, lai nejauši tos neatklātu. 
Nekoplietojiet savas API atslēgas. API atslēgas kopīgošana ir līdzīga paroles kopīgošanai. To darot, jūs piešķirat citai pusei tādas pašas autentifikācijas un autorizācijas privilēģijas kā jums. Ja tie tiek apdraudēti, jūsu API atslēgu var nozagt un izmantot, lai uzlauztu jūsu kontu. API atslēga jāizmanto tikai starp jums un sistēmu, kas to ģenerē. 

Ja jūsu API atslēga ir apdraudēta, vispirms tā ir jāatspējo, lai novērstu turpmākus bojājumus. Ja rodas finansiāli zaudējumi, uzņemiet ekrānuzņēmumus ar galveno informāciju saistībā ar incidentu, sazinieties ar saistītajām iestādēm un iesniedziet ziņojumu policijai. Tas ir labākais veids, kā palielināt izredzes atgūt zaudētos līdzekļus. 
Noslēguma domasAPI atslēgas nodrošina galvenās autentifikācijas un autorizācijas funkcijas, un lietotājiem ir rūpīgi jāpārvalda un jāaizsargā savas atslēgas. API atslēgu drošas lietošanas nodrošināšanai ir daudz slāņu un aspektu. Kopumā API atslēga ir jāuzskata par jūsu konta paroli.
Tālāka lasīšanaVispārīgie drošības principi
5 izplatītas kriptovalūtas izkrāpšanas un kā no tām izvairīties