Lietojumprogrammu saskarnes (API) atslēga ir unikāls kods, ko API izmanto, lai identificētu lietojumprogrammu vai lietotāju, kas to izsauc. API atslēgas tiek izmantotas, lai izsekotu un kontrolētu, kas izmanto API un kā tās izmanto, kā arī autentificētu un autorizētu lietojumprogrammas, līdzīgi kā darbojas lietotājvārdi un paroles. API atslēga var būt vienas atslēgas vai vairāku atslēgu grupas formā. Lietotājiem ir jāievēro paraugprakse, lai uzlabotu vispārējo drošību pret API atslēgu zādzībām un izvairītos no sekām, kas saistītas ar uzlauztu API atslēgām.
API vs. clave API
Lai saprastu, kas ir API atslēga, mums vispirms ir jāzina, kas ir API. Lietojumprogrammu saskarne jeb API ir starpprogrammatūra, kas ļauj koplietot informāciju starp divām vai vairākām lietojumprogrammām. Piemēram, CoinMarketCap API ļauj citām lietojumprogrammām iegūt un izmantot datus par kriptovalūtām, piemēram, cenu, apjomu un tirgus kapitalizāciju.
No otras puses, API atslēgai var būt dažādas formas. Tā var būt viena atslēga vai vairāku atslēgu grupa. Šīs atslēgas izmanto dažādas sistēmas, lai autentificētu un autorizētu lietojumprogrammu, līdzīgi kā tiek lietots lietotājvārds un parole. API klients izmanto šāda veida atslēgas, lai autentificētu lietojumprogrammu, izsaucot API.
Piemēram, ja Binance Academy vēlas izmantot CoinMarketCap API, CoinMarketCap ģenerēs API atslēgu un izmantos to, lai autentificētu Binance Academy (API klienta) identitāti, kas pieprasa piekļuvi API. Kad Binance Academy piekļūst CoinMarketCap API, jums kopā ar pieprasījumu ir jānosūta API atslēga CMC.
Šo API atslēgu drīkst izmantot tikai Binance Academy, un to nedrīkst kopīgot vai nosūtīt trešajām pusēm. Šīs API atslēgas kopīgošana ļautu trešajai pusei piekļūt CoinMarketCap kā Binance akadēmijai, tāpēc jebkura trešās puses veiktā darbība šķitīs tā, it kā tā būtu no Binance Academy.
CoinMarketCap API var arī izmantot šo API atslēgu, lai apstiprinātu, vai lietojumprogramma ir pilnvarota piekļūt pieprasītajam resursam. Turklāt API īpašnieki izmanto API atslēgas, lai pārraudzītu API darbības, piemēram, pieprasījumu veidus, trafiku un apjomu.
Kas ir API atslēga?
API atslēga tiek izmantota, lai uzraudzītu un izsekotu, kas izmanto API un kā viņi to izmanto. Termins “API atslēga” var attiekties uz dažādām lietām dažādām sistēmām. Dažām sistēmām var būt viens kods, savukārt citās vienai “API atslēgai” var būt vairāki kodi.
Kā tāds “API atslēga” ir unikāls kods vai kodu grupa, ko API izmanto, lai autentificētu un autorizētu lietotāju vai lietojumprogrammu, kas to izsauc. Daži kodi tiek izmantoti autentifikācijai, bet citi, lai izveidotu kriptogrāfiskus parakstus, kas pierāda pieprasījuma likumību.
Šos autentifikācijas kodus kopā sauc par “API atslēgu”, savukārt kriptogrāfiskajiem parakstiem izmantotajiem kodiem ir dažādi nosaukumi, piemēram, “slepenā atslēga”, publiskā atslēga vai “privātā atslēga”. Autentifikācija ietver iesaistīto vienību identificēšanu un apstiprināšanu, ka tās ir tādas, par kurām viņi saka.
No otras puses, autorizācija norāda API pakalpojumus, kuriem tiek piešķirta piekļuve. API atslēgas funkcija ir līdzīga konta lietotājvārda un paroles funkcijai. To var savienot arī ar citiem drošības līdzekļiem, lai uzlabotu vispārējo drošību.
API īpašnieks parasti ģenerē API atslēgu konkrētai entītijai (sīkāka informācija tālāk), un katru reizi, kad tiek veikts izsaukums API galapunktam (nepieciešama lietotāja autentifikācija, autorizācija vai abi), tiek izmantota attiecīgā atslēga.
Kriptogrāfiskie paraksti
Dažas API atslēgas izmanto kriptogrāfiskos parakstus kā papildu verifikācijas slāni. Ja lietotājs vēlas nosūtīt noteiktus datus uz API, pieprasījumam ir iespējams pievienot ciparparakstu, ko ģenerē cita atslēga. Izmantojot kriptogrāfiju, API īpašnieks var pārbaudīt, vai šis ciparparaksts atbilst nosūtītajiem datiem.
Simetrisks un asimetrisks paraksts
Datus, kas tiek kopīgoti, izmantojot API, var parakstīt ar kriptogrāfiskajām atslēgām, kas ietilpst šādās kategorijās:
Simetriskas atslēgas
Tie ietver slepenās atslēgas izmantošanu, lai veiktu gan datu parakstīšanu, gan paraksta verifikāciju. Izmantojot simetriskās atslēgas, API īpašnieks bieži ģenerē API atslēgu un slepeno atslēgu, un API pakalpojumam paraksta pārbaudei ir jāizmanto viena un tā pati slepenā atslēga. Viena atslēgas izmantošanas galvenā priekšrocība ir tā, ka tā ir ātrāka un prasa mazāku skaitļošanas jaudu parakstu ģenerēšanai un pārbaudei. Labs simetriskas atslēgas piemērs ir HMAC (jauktā ziņojuma autentifikācijas kods).
Asimetriskas atslēgas
Tie ietver divu atslēgu izmantošanu: dažādas privātās atslēgas un publiskās atslēgas, bet kriptogrāfiski saistītas. Privātā atslēga tiek izmantota paraksta ģenerēšanai, un publiskā atslēga tiek izmantota, lai to pārbaudītu. API īpašnieks ģenerē API atslēgu, bet lietotājs ģenerē publisko atslēgu un privātās atslēgas pāri. API īpašniekam publiskā atslēga jāizmanto tikai paraksta pārbaudei, lai privātā atslēga paliktu vietā un būtu slepena.
Galvenā asimetrisko atslēgu izmantošanas priekšrocība ir lielāka drošība, atdalot paraksta ģenerēšanas un verifikācijas atslēgas. Tas ļauj ārējām sistēmām pārbaudīt parakstus, nespējot tos ģenerēt. Vēl viena priekšrocība ir tā, ka dažas asimetriskas šifrēšanas sistēmas ļauj privātajām atslēgām pievienot paroli. Labs piemērs ir RSA atslēgu pāris (Rivest-Shamir-Adelman, iniciāļi ir veidotāju uzvārdu iniciāļi).
Vai API atslēgas ir drošas?
Atbildība par API atslēgu ir lietotājam. API atslēgas ir līdzīgas parolēm, un ar tām jāizturas tikpat uzmanīgi. API atslēgas kopīgošana ir līdzīga paroles kopīgošanai, un tādēļ to nevajadzētu darīt, jo tas apdraudētu lietotāja kontu.
API atslēgas bieži tiek vērstas uz kiberuzbrukumiem, jo tās var izmantot, lai veiktu svarīgas darbības sistēmā, piemēram, pieprasītu personas informāciju vai veiktu finanšu darījumus. Faktiski ir bijuši gadījumi, kad rāpuļprogrammas veiksmīgi uzbrūk datu bāzēm ar tiešsaistes kodu, lai nozagtu API atslēgas.
API atslēgas zādzības sekas var būt postošas un radīt ievērojamus finansiālus zaudējumus. Turklāt, tā kā dažām API atslēgām nebeidzas derīguma termiņš, uzbrucēji var tās izmantot neierobežotu laiku, līdz pašas atslēgas tiek atsauktas.
Paraugprakse, izmantojot API atslēgas
Ņemot vērā to piekļuvi sensitīviem datiem un vispārējo ievainojamību, API atslēgu droša izmantošana ir ļoti svarīga. Izmantojot API atslēgas, varat ievērot tālāk norādīto paraugpraksi, lai uzlabotu to vispārējo drošību.
Ja iespējams, bieži mainiet API atslēgas. Tas nozīmē, ka jums ir jāizdzēš pašreizējā API atslēga un jāizveido jauna. Vairākās sistēmās ir viegli ģenerēt un dzēst API atslēgas. Līdzīgi kā dažās sistēmās ir jāmaina parole ik pēc 30 vai 90 dienām, arī API atslēgas ir jāmaina pēc iespējas biežāk.
Izmantojiet IP balto sarakstu: veidojot API atslēgu, izveidojiet to IP sarakstu, kuriem ir atļauts izmantot atslēgu (IP balto sarakstu). Izveidojiet arī bloķēto IP sarakstu (IP melno sarakstu). Tātad, pat ja jūsu API atslēga tiek nozagta, to nevarēs izmantot ar neatpazītu IP.
Izmantojiet vairākas API atslēgas: ja jums ir vairākas atslēgas un sadalot pienākumus starp tām, samazināsies drošības risks, jo jūsu drošība nebūs atkarīga no vienas atslēgas ar daudzām atļaujām. Katrai atslēgai varat arī iestatīt dažādus IP baltos sarakstus, tādējādi vēl vairāk samazinot drošības risku.
Droši glabājiet API atslēgas: neglabājiet atslēgas publiskā vidē, publiskos datoros vai to sākotnējā teksta formātā. Tā vietā saglabājiet katru no tiem, izmantojot šifrēšanu vai slepeno pārvaldnieku, lai nodrošinātu labāku drošību, un uzmanieties, lai nejauši tos neatklātu.
Nekoplietojiet savas API atslēgas. API atslēgu kopīgošana ir līdzīga paroles kopīgošanai. To darot, jūs piešķirat trešajai pusei tādas pašas autentifikācijas un autorizācijas privilēģijas, kādas jums ir. Ja jūsu paroles ir apdraudētas, tās var izmantot, lai uzlauztu jūsu kontu. API atslēga ir jāizmanto tikai starp sistēmu, kas to ģenerēja, un atslēgas īpašnieku.
Ja jūsu API atslēga ir apdraudēta, vispirms tā ir jāatspējo, lai novērstu turpmākus bojājumus. Ja rodas finansiāli zaudējumi, uzņemiet ekrānuzņēmumus ar galveno informāciju, kas saistīta ar incidentu, sazinieties ar saistītajām iestādēm un iesniedziet ziņojumu policijai. Tas ir labākais veids, kā palielināt izredzes atgūt zaudētos līdzekļus.
Secinājumi
API atslēgas nodrošina būtiskas autentifikācijas un autorizācijas funkcijas, tāpēc lietotājiem rūpīgi jāpārvalda un jāaizsargā savas atslēgas. Ir daudz slāņu un aspektu, lai nodrošinātu API atslēgu drošu izmantošanu. Taču kopumā API atslēga ir jāuzskata par paroli, lai piekļūtu jūsu kontam.
Tālāka lasīšana
Vispārīgie drošības principi
5 izplatītas kriptovalūtas krāpniecības un kā no tām izvairīties