Lietojumprogrammu saskarnes (API) atslēga ir unikāls kods, ko API izmanto, lai identificētu lietojumprogrammu vai lietotāju. API atslēgas tiek izmantotas, lai izsekotu un kontrolētu, kurš un kā izmanto API, kā arī autentificētu un autorizētu lietojumprogrammas līdzīgi kā paroles un pieteikšanās. API atslēga var būt viena atslēga vai vairāku atslēgu kopa. Lietotājiem jāpievērš uzmanība savai drošībai, lai pasargātu sevi no datu zādzības un noplūdes.
API un API atslēga
Lai saprastu, kas ir API atslēga, vispirms ir jāaplūko pati API. Lietojumprogrammu saskarne jeb API ir programmatūras starpnieks, kas nodrošina informācijas apmaiņu starp divām vai vairākām lietojumprogrammām. Piemēram, CoinMarketCap API ļauj citām lietojumprogrammām izgūt un izmantot kriptovalūtas datus, piemēram, cenu, apjomu un tirgus kapitalizāciju.
API atslēga var būt viena atslēga vai vairāku atslēgu kopa. Dažādas sistēmas izmanto šīs atslēgas, lai autentificētu un autorizētu lietojumprogrammas, līdzīgi kā pieteikumvārdi un paroles. API klients izmanto API atslēgu, lai autentificētu lietojumprogrammu, kas izsauc API.
Piemēram, ja Binance Academy vēlas izmantot CoinMarketCap API, tad CoinMarketCap ģenerēs API atslēgu un izmantos to, lai autentificētu Binance Academy (API klientu), kas pieprasa piekļuvi API. Kad Binance Academy piekļūst CoinMarketCap API, API atslēga tiek nosūtīta CoinMarketCap kopā ar pieprasījumu.
Šajā piemērā tikai Binance Academy var izmantot API atslēgu, nekoplietojot to ar trešajām pusēm. Šīs API atslēgas kopīgošana ļaus trešajai pusei piekļūt CoinMarketCap un veikt darbības Binance Academy vārdā.
Turklāt CoinMarketCap API var izmantot API atslēgu, lai pārbaudītu, vai lietojumprogramma ir pilnvarota piekļūt pieprasītajam resursam. API īpašnieki var arī izmantot API atslēgas, lai izsekotu API darbībām, tostarp pieprasījumu veidiem, trafiku un apjomu.
Kas ir API atslēga
API atslēga tiek izmantota, lai kontrolētu un izsekotu, kas un kā izmanto API. Pats terminam “API atslēga” var būt vairākas nozīmes. Dažām sistēmām ir tikai viens kods, savukārt citās vienai API atslēgai ir vairāki kodi.
Citiem vārdiem sakot, API atslēga ir unikāls kods vai unikālu kodu kopa, ko API izmanto, lai autentificētu un autorizētu izsaucošo lietotāju vai lietojumprogrammu. Daži kodi tiek izmantoti autentifikācijai, bet citi tiek izmantoti, lai izveidotu kriptogrāfiskus parakstus, kas apstiprina pieprasījuma likumību.
Šos autentifikācijas kodus sauc par "API atslēgu", savukārt kodiem kriptogrāfisko parakstu izveidei ir dažādi nosaukumi, piemēram, "slepenā atslēga", "publiskā atslēga" vai "privātā atslēga". Autentifikācija ietver iesaistīto entītiju identificēšanu un identitātes apstiprināšanu.
Autorizācija savukārt nosaka API pakalpojumus, kuriem ir atļauta piekļuve. API atslēga darbojas līdzīgi kā konta pieteikumvārds un parole, un to var saistīt arī ar citiem drošības līdzekļiem, lai uzlabotu vispārējo drošību.
API īpašnieks ģenerē katru API atslēgu īpaši noteiktai entītijai (vairāk par to tālāk), un katru reizi, kad tiek izsaukts API galapunkts, kuram nepieciešama lietotāja autentifikācija un/vai autorizācija, tiek izmantota atbilstošā atslēga.
Kriptogrāfiskie paraksti
Dažas API atslēgas izmanto kriptogrāfiskos parakstus kā papildu verifikācijas slāni. Ja lietotājs vēlas nodot noteiktus datus API, pieprasījumam var pievienot ciparparakstu, ko ģenerē cita atslēga. Izmantojot kriptogrāfiju, API īpašnieks varēs pārbaudīt, vai ciparparaksts atbilst nosūtītajiem datiem.
Simetrisks un asimetrisks paraksts
Lai parakstītu datus, kas nosūtīti, izmantojot API, tiek izmantotas šādas kriptogrāfisko atslēgu kategorijas:
Simetriskas atslēgas
Tie ietver vienas slepenās atslēgas izmantošanu datu parakstīšanai un paraksta pārbaudei. Izmantojot simetriskas atslēgas, API īpašnieks ģenerē API atslēgu un slepeno atslēgu, ko API pakalpojumi izmanto paraksta pārbaudei. Viena atslēgas izmantošanas galvenā priekšrocība ir tā, ka tā paātrina parakstu ģenerēšanas un verifikācijas procesu un prasa mazāku skaitļošanas jaudu. Labas simetriskas atslēgas piemērs ir HMAC.
Asimetriskas atslēgas
Tie ietver divu atslēgu izmantošanu: privāto un publisko, kas atšķiras viena no otras, bet kurām ir kriptogrāfisks savienojums. Privātā atslēga tiek izmantota paraksta ģenerēšanai, un publiskā atslēga tiek izmantota, lai to pārbaudītu. API īpašnieks ģenerē API atslēgu, un lietotājs ģenerē privātās un publiskās atslēgas. Lai pārbaudītu parakstu, API īpašnieks izmanto tikai publisko atslēgu, bet privātā atslēga tiek turēta noslēpumā.
Galvenā asimetrisko atslēgu izmantošanas priekšrocība ir paaugstināta drošība, nodalot paraksta ģenerēšanas un paraksta pārbaudes uzdevumus. Tas ļauj ārējām sistēmām pārbaudīt parakstus, nespējot tos ģenerēt. Turklāt dažas asimetriskas šifrēšanas sistēmas atbalsta paroles pievienošanu privātajām atslēgām. Piemērs ir RSA atslēgu pāris.
API atslēgas drošība
Par API atslēgas drošību atbild lietotājs. API atslēgas darbojas kā paroles, un tām ir nepieciešama tāda pati aprūpe. Jūs nedrīkstat kopīgot savu API atslēgu ar trešajām pusēm, jo tas būs līdzīgi paroles kopīgošanai un var apdraudēt jūsu kontu.
API atslēgas bieži vien ir kiberuzbrukumu mērķis, jo tās var izmantot sensitīvu sistēmas darbību veikšanai, piemēram, personas informācijas pieprasīšanai vai finanšu darījumu veikšanai. Jau ir bijuši gadījumi, kad uzbrucēji ar kodiem uzbruka tiešsaistes datu bāzēm un nozaga API atslēgas.
API atslēgu zādzība var radīt negatīvas sekas un ievērojamus finansiālus zaudējumus. Turklāt dažām API atslēgām nebeidzas derīguma termiņš, tāpēc uzbrucēji var tās izmantot, pirms atslēgas tiek atspējotas.
Padomi API atslēgu drošai lietošanai
API atslēgas nodrošina piekļuvi sensitīviem datiem, tāpēc ir ļoti svarīgi tos izmantot droši. Lai droši izmantotu API atslēgu, ievērojiet šīs vadlīnijas:
Mēģiniet periodiski mainīt API atslēgas. Lai mainītu atslēgu, jums ir jāizdzēš pašreizējā API atslēga un jāizveido jauna. Izmantojot vairākas sistēmas, API atslēgu dzēšana un ģenerēšana nav sarežģīta. Tāpat kā dažām sistēmām paroles ir jāmaina ik pēc 30 līdz 90 dienām, atslēgu īpašniekiem API atslēgas ir jāmaina ar tādu pašu biežumu, ja iespējams.
Izveidojiet balto IP adrešu sarakstu. Veidojot jaunu API atslēgu, izveidojiet to IP adrešu sarakstu, kurām būs atļauts izmantot šo atslēgu (IP baltais saraksts). Turklāt varat norādīt arī bloķēto IP adrešu sarakstu (IP melnais saraksts). Pēc tam, ja atslēga tiek nozagta, neatpazītā IP adrese to nevarēs izmantot.
Izmantojiet vairākas API atslēgas. Vairāku atslēgu izmantošana un uzdevumu sadale starp tām samazina riskus, jo konta drošība nebūs atkarīga no vienas atslēgas, kas tiek izmantota visiem uzdevumiem vienlaikus. Turklāt katrai atslēgai var izveidot dažādus IP adrešu baltos sarakstus, tādējādi būtiski paaugstinot drošības līmeni.
Pārliecinieties, vai API atslēgas tiek glabātas droši. Neglabājiet atslēgas publiskās vietās, publiskos datoros vai vienkārša teksta formātā. Lai palielinātu katras atslēgas drošību, izmantojiet šifrēšanu vai konfidenciālu datu pārvaldības pakalpojumu un uzmanieties, lai nejauši tos neatklātu.
Nekopīgojiet savas API atslēgas nevienam. Piešķirt kādam API atslēgu ir tas pats, kas piešķirt paroli. Šajā gadījumā trešā puse saņem tādas pašas autentifikācijas un autorizācijas iespējas kā jūs. Datu noplūdes gadījumā API atslēga var tikt nozagta un izmantota jūsu konta uzlauzšanai. API atslēgu drīkst izmantot tikai jūs un sistēma, kas to ģenerē.
Ja jūsu API atslēga nonāk trešo pušu rokās, noteikti atspējojiet to, lai novērstu turpmākus bojājumus. Finansiālu zaudējumu gadījumā uzņemiet ekrānšāviņus ar galveno informāciju par incidentu un sazinieties ar attiecīgajām organizācijām, kā arī iesniedziet ziņojumu policijā. Tādā veidā jūs varat palielināt savas iespējas atgūt zaudētos līdzekļus.
Noslēgumā
API atslēgas nodrošina autentifikācijas un autorizācijas funkcijas, tāpēc lietotājiem tās ir jāuzglabā droši un jālieto piesardzīgi. Ir daudz līmeņu un veidu, kā nodrošināt API atslēgas. API atslēga ir jāapstrādā tāpat kā jūsu konta parole.
Ieteicamā literatūra
Vispārīgi drošības principi
5 izplatīti kriptovalūtu izkrāpšanas veidi un kā no tiem izvairīties
