Lietojumprogrammu saskarnes (API) atslēga ir unikāls kods, ko API izmanto, lai identificētu izsaucošo lietotāju vai lietojumprogrammu. API atslēgas tiek izmantotas, lai izsekotu un kontrolētu, kas izmanto API un kā viņi to izmanto, kā arī autentificētu un autorizētu lietojumprogrammas — līdzīgi kā darbojas lietotājvārdi un paroles. API atslēga var būt vienas atslēgas vai vairāku atslēgu kopas veidā. Lietotājiem ir pareizi jāizmanto API atslēgas, lai uzlabotu vispārējo drošību pret API atslēgu zādzību un izvairītos no saistītām sekām, kas saistītas ar viņu API atslēgu apdraudējumu.
Atšķirt API un API atslēgu
Lai saprastu, kas ir API atslēga, vispirms jums jāizprot, kas ir API. Lietojumprogrammu saskarne jeb API (Application programming interface) ir starpprogrammatūra, kas ļauj divām vai vairākām lietojumprogrammām apmainīties ar informāciju. Piemēram, CoinMarketCap API ļauj citām lietojumprogrammām piekļūt un izmantot kriptovalūtu datus, piemēram, cenu, apjomu un tirgus kapitalizāciju.
API atslēga var būt dažādās formās — tā var būt viena atslēga vai vairāku atslēgu komplekts. Dažādas sistēmas izmanto šīs atslēgas, lai autentificētu un pilnvarotu lietojumprogrammu, līdzīgi kā lietotājvārda un paroles izmantošana. API atslēga tiek izmantota API klienta lietojumprogrammas, lai autentificētu API izsaucējo lietojumprogrammu.
Piemēram, ja Binance Academy vēlas izmantot CoinMarketCap API, tad API atslēga tiks izveidota CoinMarketCap un tiks izmantota, lai autentificētu Binance Academy (API lietojumprogrammas) identitāti, kas pieprasa API piekļuvi. Kad Binance Academy piekļūst CoinMarketCap API, šī API atslēga tiks nosūtīta uz CoinMarketCap kopā ar pieprasījumu.
Šī API atslēga drīkst tikt izmantota tikai Binance Academy, un to nedrīkst koplietot vai nosūtīt citiem. Šīs API atslēgas koplietošana ļaus trešajai pusei piekļūt CoinMarketCap kā Binance Academy, un visas trešās puses darbības izskatīsies it kā tās nāk no Binance Academy.
API atslēga var tikt izmantota arī CoinMarketCap API, lai apstiprinātu, vai lietojumprogrammai ir atļauts piekļūt pieprasītajiem resursiem. Turklāt API īpašnieki izmanto API atslēgas, lai uzraudzītu API darbību, piemēram, veidu, plūsmu un pieprasījumu apjomu.
Kas ir API atslēga?
API atslēga tiek izmantota, lai kontrolētu un uzraudzītu, kas izmanto API un kā viņi to izmanto. Termins “API atslēga” var nozīmēt atšķirīgas lietas dažādām sistēmām. Dažām sistēmām ir viena unikāla atslēga, bet citām sistēmām var būt vairākas atslēgas vienai “API atslēgai”.
Tādējādi, “API atslēga” ir unikāla atslēga vai unikāls atslēgu komplekts, ko izmanto API, lai autentificētu un pilnvarotu lietotāju vai lietojumprogrammu, kas veic izsaukumu. Dažas atslēgas tiek izmantotas autentifikācijai, bet citas tiek izmantotas, lai izveidotu parakstu, lai pierādītu pieprasījuma likumību.
Šie autentifikācijas kodi parasti tiek dēvēti kopumā par “API atslēgām”, kamēr kodi, kas tiek izmantoti paraksta izveidei, var būt dažādi, piemēram, “slepenā atslēga”, “publiskā atslēga” vai “privātā atslēga”. Autentifikācija prasa identificēt attiecīgās puses un apstiprināt, ka tās ir tās, par kurām tās saka.
Savukārt tā pilnvaro noteiktās API pakalpojumus, kuriem ir atļauts piekļūt. API atslēgas funkcija ir līdzīga konta lietotājvārda un paroles funkcijai; to var arī savienot ar citām drošības funkcijām, lai uzlabotu kopējo drošību.
Katru API atslēgu parasti izveido API īpašnieks specifiskai pusei (sīkāka informācija zemāk), un katru reizi, kad tiek veikts izsaukums uz API galapunktu — pieprasījums autentificēt vai pilnvarot lietotāju vai abus — attiecīgā atslēga tiks izmantota.
Paraksts
Dažas API atslēgas izmanto parakstu kā papildu verifikācijas slāni. Kad lietotājs vēlas nosūtīt noteiktu datu apjomu uz API, digitālais paraksts, ko izveido cita atslēga, var tikt pievienots pieprasījumam. Izmantojot šifrēšanu, API īpašnieks var apstiprināt, ka digitālais paraksts atbilst nosūtītajiem datiem.
Simetriskā un asimetriskā paraksts
Dati, kas tiek koplietoti caur API, var tikt parakstīti ar šifrēšanas atslēgām, kas pieder šādām kategorijām:
Simetriskās atslēgas
Tās ir saistītas ar noslēpuma atslēgas izmantošanu, lai veiktu gan datu parakstīšanu, gan paraksta pārbaudi. Ar simetriskajām atslēgām API atslēga un noslēpuma atslēga parasti tiek izveidotas ar API īpašnieka palīdzību, un API pakalpojumam ir jāizmanto tā pati noslēpuma atslēga, lai pārbaudītu parakstu. Galvenā priekšrocība, lietojot simetriskās atslēgas, ir tā, ka tas ir ātrāk un prasa mazāk aprēķinu jaudas, lai izveidotu un pārbaudītu parakstu. Tipisks simetriskās atslēgas piemērs ir HMAC.
Asimetriskās atslēgas
Tās ir saistītas ar divu atslēgu izmantošanu: privātu atslēgu un publisku atslēgu, kas ir atšķirīgas, bet saistītas ar šifrēšanu. Privātā atslēga tiek izmantota, lai izveidotu parakstu, un publiskā atslēga tiek izmantota, lai pārbaudītu parakstu. API atslēgu izveido API īpašnieks, bet privātās un publiskās atslēgas izveido lietotājs. API īpašnieks var izmantot tikai publisko atslēgu, lai pārbaudītu parakstu, tādējādi privātā atslēga var palikt lokāla un slepena.
Galvenā priekšrocība, izmantojot asimetriskās atslēgas, ir augstāka drošība, atdalot paraksta izveidošanai un pārbaudei izmantotās atslēgas. Tas ļauj ārējām sistēmām pārbaudīt parakstu, neizveidojot parakstu. Vēl viena priekšrocība ir tā, ka daudzas asimetriskās šifrēšanas sistēmas atbalsta papildu paroli privātajai atslēgai. Tipisks piemērs ir RSA atslēgu pāris.
Vai API atslēgas ir drošas?
Atbildība par API atslēgu drošību gulstas uz lietotāju. API atslēgas ir līdzīgas parolēm un tām jābūt apstrādātām uzmanīgi. API atslēgu koplietošana ir līdzīga paroles koplietošanai, un tādēļ jums nevajadzētu to darīt, jo tas pakļaus lietotāja kontu riskam.
API atslēgas bieži tiek mērķētas kiberuzbrukumos, jo tās var tikt izmantotas, lai veiktu svarīgas darbības sistēmā, piemēram, pieprasītu personisko informāciju vai veiktu finanšu darījumus. Faktiski ir bijuši gadījumi, kad informācijas vācēji un uzbrucēji ir uzlauzuši tiešsaistes datu bāzes, lai nozagtu API atslēgas.
API atslēgas zādzības sekas var būt ļoti nopietnas un novest pie būtiskiem finansiāliem zaudējumiem. Turklāt, jo dažām API atslēgām nav derīguma termiņa, uzbrucēji var tās izmantot neierobežoti pēc zādzības, līdz pat šīs atslēgas tiek atsauktas.
Kā pareizi izmantot API atslēgu
Tā kā piekļuve jutīgiem datiem tiek piešķirta, API atslēgu droša lietošana ir ļoti svarīga. Jūs varat sekot labākajām prakses vadlīnijām, lai izmantotu šo API atslēgu un uzlabotu kopējo drošību:
Regulāri atjauniniet savas API atslēgas, ja iespējams. Tas nozīmē, ka jums vajadzētu dzēst savu pašreizējo API atslēgu un izveidot jaunu. Ar daudzām sistēmām ir viegli izveidot un dzēst API atslēgas. Līdzīgi kā dažas sistēmas prasa jums mainīt paroli ik pēc 30 līdz 90 dienām, jums vajadzētu mainīt savas API atslēgas ar līdzīgu biežumu, ja iespējams.
Izmantojiet IP baltās sarakstu: Kad jūs izveidojat API atslēgu, veiciet sarakstu ar atļautajām IP adresēm, kas var izmantot atslēgu (baltā IP saraksts). Jūs varat arī noteikt sarakstu ar bloķētām IP adresēm (melnais IP saraksts). Tādejādi, pat ja jūsu API atslēga tiek nozagta, tā nevar tikt piekļūta no neidentificētas IP adreses.
Izmantojiet vairākas API atslēgas: Ir vairākas atslēgas un to atbildības sadalīšana samazinās drošības riskus, jo jūsu drošība vairs nebūs atkarīga no vienas atslēgas ar daudziem piekļuves tiesībām. Jūs varat arī noteikt dažādas baltās IP sarakstus katrai atslēgai, tādējādi vēl vairāk samazinot drošības riskus.
Uzglabājiet API atslēgas droši: Neuzglabājiet savas atslēgas publiskās vietās, koplietojamās datoros vai to sākotnējā teksta formātā. Tā vietā uzglabājiet katru ar šifrēšanu vai slepeno pārvaldnieku, lai nodrošinātu labāku drošību un uzmanieties, lai tās neizpaustu nejauši.
Nedala savas API atslēgas. API atslēgu koplietošana ir līdzīga savas paroles koplietošanai. To darot, jūs piešķirat citai pusei autentifikācijas un pilnvaru tiesības rīkoties tāpat kā jūs. Ja tās tiek apdraudētas, jūsu API atslēga var tikt nozagta un izmantota, lai iekļūtu jūsu kontā. API atslēgas drīkst izmantot tikai starp jums un to sistēmu, kas izveidoja atslēgu.
Ja jūsu API atslēga tiek apdraudēta, vispirms jums jāpārtrauc tās lietošana, lai novērstu papildu zaudējumus. Ja ir bijuši jebkādi finansiāli zaudējumi, uzņemiet ekrānuzņēmumu ar galveno informāciju, kas saistīta ar incidentu, sazinieties ar attiecīgajām iestādēm un nosūtiet ziņojumu policijai. Tas ir labākais veids, kā palielināt iespējas atgūt zaudēto naudu.
Kopsavilkums
API atslēgas nodrošina centrālās autentifikācijas un pilnvaru funkcijas, un lietotājiem ir jāapstrādā un jāaizsargā savas atslēgas uzmanīgi. Ir daudz soļu un aspektu, lai nodrošinātu drošu API atslēgu lietošanu. Vispārīgi runājot, jūs vajadzētu uzskatīt API atslēgas par savām parolēm.
Lasiet vairāk:
Vispārīgie drošības principi
5 populārākās kriptovalūtu krāpšanas formas un kā no tām izvairīties