Lietojumprogrammu saskarnes (API) atslēga ir unikāls kods, ko izmanto API, lai identificētu izsaucošo lietojumprogrammu vai lietotāju. API atslēgas tiek izmantotas, lai izsekotu un kontrolētu, kas un kā izmanto API, kā arī autentificētu un autorizētu lietojumprogrammas — līdzīgi kā darbojas lietotājvārdi un paroles. API atslēga var būt viena atslēga vai vairāku atslēgu kopa. Lietotājiem ir jāievēro paraugprakse, lai uzlabotu vispārējo aizsardzību pret API atslēgu zādzību un izvairītos no ar to saistītajām API atslēgu kompromitēšanas sekām.
API un API atslēga
Lai saprastu, kas ir API atslēga, vispirms ir jāsaprot, kas ir API. Lietojumprogrammu saskarne jeb API ir programmatūras starpnieks, kas ļauj divām vai vairākām programmām apmainīties ar informāciju. Piemēram, CoinMarketCap API ļauj citām lietojumprogrammām izgūt un izmantot kriptovalūtas datus, piemēram, cenu, apjomu un tirgus kapitalizāciju.
API atslēga var būt dažādu formu. Tā var būt viena atslēga vai vairāku atslēgu komplekts. Dažādās sistēmās šīs atslēgas tiek izmantotas lietojumprogrammu autentifikācijai un autorizācijai tāpat kā lietotājvārds un parole. API klients izmanto API atslēgu, lai autentificētu lietojumprogrammu, kas izsauc API.
Piemēram, ja Binance Academy vēlas izmantot CoinMarketCap API, CoinMarketCap tiks ģenerēta API atslēga un izmantota, lai autentificētu Binance Academy (API klientu), kas pieprasa piekļuvi API. Kad Binance Academy piekļūst CoinMarketCap API, šī API atslēga ir jānosūta CoinMarketCap kopā ar pieprasījumu.
Šo API atslēgu drīkst izmantot tikai Binance Academy, un to nedrīkst kopīgot vai nosūtīt citiem. Kopīgojot šo API atslēgu, trešā puse varēs piekļūt CoinMarketCap kā Binance Academy, un visas trešās puses darbības tiks parādītas tā, it kā tās būtu veiktas no Binance Academy.
API atslēga var arī izmantot CoinMarketCap API, lai apstiprinātu, ka lietojumprogrammai ir atļauts piekļūt pieprasītajam resursam. Turklāt API īpašnieki izmanto API atslēgas, lai pārraudzītu API darbības, piemēram, pieprasījumu veidus, trafiku un apjomu.
Kas ir API atslēga?
API atslēga tiek izmantota, lai kontrolētu un izsekotu, kas izmanto API un kā tā tiek izmantota. Termins "API atslēga" dažādām sistēmām var nozīmēt dažādas lietas. Dažām sistēmām ir viens kods, citās var būt vairāki kodi vienai "API atslēgai".
Tādējādi "API atslēga" ir unikāls kods vai unikālu kodu kopa, ko izmanto API, lai autentificētu un autorizētu izsaucošo lietotāju vai lietojumprogrammu. Daži kodi tiek izmantoti autentifikācijai, bet citi tiek izmantoti, lai izveidotu kriptogrāfiskus parakstus, kas apstiprina pieprasījuma likumību.
Šos autentifikācijas kodus parasti dēvē par "API atslēgu", savukārt kodiem, ko izmanto kriptogrāfiskajiem parakstiem, ir dažādi nosaukumi, piemēram, "slepenā atslēga", "publiskā atslēga" vai "privātā atslēga". Autentifikācija ietver iesaistīto personu identificēšanu un apstiprināšanu, ka viņi ir tādi, kādi viņi sevi saka.
No otras puses, autorizācija norāda, kuriem API pakalpojumiem ir atļauts piekļūt. API atslēgas funkcija ir līdzīga konta lietotājvārda un paroles funkcijai; to var savienot arī ar citiem drošības līdzekļiem, lai palielinātu vispārējo drošību.
Katru API atslēgu parasti ģenerē noteiktam objektam API īpašnieks (sīkāku informāciju skatiet tālāk), un ikreiz, kad tiek veikts API galapunkta izsaukums, kam nepieciešama lietotāja autentifikācija vai autorizācija, vai abi, tiek izmantota atbilstošā atslēga.
Kriptogrāfiskie paraksti
Dažas API atslēgas izmanto kriptogrāfiskos parakstus kā papildu verifikācijas slāni. Ja lietotājs vēlas nosūtīt noteiktus datus API, pieprasījumam var pievienot ciparparakstu, ko ģenerē cita atslēga. Izmantojot kriptogrāfiju, API īpašnieks var pārbaudīt, vai šis ciparparaksts atbilst nosūtītajiem datiem.
Simetrisks un asimetrisks paraksts
Datus, kas nosūtīti, izmantojot API, var parakstīt ar kriptogrāfiskajām atslēgām, kas ietilpst šādās kategorijās:
Simetriskas atslēgas
Šī ir vienas slepenās atslēgas izmantošana datu parakstīšanai un paraksta pārbaudei. Izmantojot simetriskas atslēgas, API atslēgu un slepeno atslēgu parasti ģenerē API īpašnieks, un API pakalpojumam ir jāizmanto viena un tā pati slepenā atslēga, lai pārbaudītu parakstu. Viena atslēgas izmantošanas galvenā priekšrocība ir tā, ka viss notiek ātrāk un paraksta ģenerēšanai un pārbaudei ir nepieciešama mazāka skaitļošanas jauda. Labs simetriskas atslēgas piemērs ir HMAC.
Asimetriskas atslēgas
Tas ir divu atslēgu izmantošana: privātā atslēga un publiskā atslēga, kas ir atšķirīgas, bet kriptogrāfiski saistītas. Privātā atslēga tiek izmantota, lai izveidotu parakstu, un publiskā atslēga tiek izmantota, lai pārbaudītu parakstu. API atslēgu ģenerē API īpašnieks, un privāto un publisko atslēgu pāri ģenerē lietotājs. API īpašniekam publiskā atslēga jāizmanto tikai paraksta pārbaudei, lai privātā atslēga paliktu lokāla un slepena.
Galvenā asimetrisko atslēgu izmantošanas priekšrocība ir paraksta ģenerēšanas un atslēgas pārbaudes nodalīšanas augstāka drošība. Tas ļauj ārējām sistēmām pārbaudīt parakstus, nespējot tos ģenerēt. Vēl viena priekšrocība ir tā, ka dažas asimetriskas šifrēšanas sistēmas atbalsta paroles pievienošanu privātajām atslēgām. Labs piemērs ir RSA atslēgu pāris.
Vai API atslēgas ir drošas?
Par API atslēgu atbild lietotājs. API atslēgas ir līdzīgas parolēm, un ar tām jārīkojas tikpat uzmanīgi. API atslēgas kopīgošana ir līdzīga paroles kopīgošanai, un tāpēc to nevajadzētu kopīgot ar citiem, jo tādējādi tiks apdraudēts lietotāja konts.
API atslēgas parasti ir vērstas uz kiberuzbrukumiem, jo tās var izmantot, lai veiktu jaudīgas operācijas sistēmās, piemēram, pieprasītu personas informāciju vai finanšu darījumus. Faktiski ir bijuši gadījumi, kad rāpuļprogrammas ir veiksmīgi uzbrukušas tiešsaistes kodu datu bāzēm, lai nozagtu API atslēgas.
API atslēgas zādzības sekas var būt nopietnas un radīt ievērojamus finansiālus zaudējumus. Turklāt, tā kā dažām API atslēgām nebeidzas derīguma termiņš, uzbrucēji var tās izmantot bezgalīgi pēc zādzības, līdz pašas atslēgas tiek atsauktas.
API atslēgu lietošanas vadlīnijas
Sakarā ar to piekļuvi sensitīviem datiem un to vispārējo neaizsargātību, API atslēgu droša izmantošana ir ārkārtīgi svarīga. Izmantojot API atslēgas, varat ievērot tālāk norādīto paraugpraksi, lai uzlabotu to vispārējo drošību.
Bieži mainiet API atslēgas. Tas nozīmē, ka jums ir jāizdzēš pašreizējā API atslēga un jāģenerē jauna. API atslēgu ģenerēšana un dzēšana lielākajā daļā sistēmu ir diezgan vienkārša. Tāpat kā dažās sistēmās ir jāmaina parole ik pēc 30–90 dienām, arī API atslēgas, ja iespējams, ir jāmaina tikpat bieži.
IP baltā saraksta izmantošana: veidojot API atslēgu, izveidojiet to IP adrešu sarakstu, kuras var izmantot atslēgu (IP baltais saraksts). Varat arī norādīt bloķēto IP adrešu sarakstu (IP melnais saraksts). Tādā veidā, pat ja jūsu API atslēga tiek nozagta, tai joprojām nevar piekļūt, izmantojot nezināmu IP adresi.
Izmantojiet vairākas API atslēgas: ja jums ir vairākas atslēgas un sadalot pienākumus starp tām, samazināsies drošības risks, jo jūsu drošība nebūs atkarīga no vienas atslēgas ar paplašinātām atļaujām. Katrai atslēgai varat arī iestatīt dažādus IP baltos sarakstus, vēl vairāk samazinot drošības risku.
Droši glabājiet API atslēgas: neglabājiet atslēgas publiskās vietās, publiskos datoros vai vienkārša teksta formātā. Tā vietā saglabājiet katru atslēgu ar šifrēšanu vai paroļu pārvaldnieku, lai nodrošinātu papildu drošību, un uzmanieties, lai tās nejauši neatklātu.
Nekopīgojiet savas API atslēgas nevienam. API atslēgas kopīgošana ir līdzīga paroles kopīgošanai. To darot, jūs piešķirat otrai pusei savas autentifikācijas un autorizācijas privilēģijas. Ja tie tiek apdraudēti, jūsu API atslēga var tikt nozagta un izmantota jūsu konta uzlauzšanai. API atslēga jāizmanto tikai starp jums un sistēmu, kas to ģenerē.
Ja jūsu API atslēga ir apdraudēta, vispirms tā ir jāatspējo, lai novērstu turpmākus bojājumus. Ja rodas finansiāli zaudējumi, uzņemiet ekrānuzņēmumus ar galveno informāciju saistībā ar incidentu, sazinieties ar attiecīgajām organizācijām un iesniedziet ziņojumu policijā. Tas ir labākais veids, kā palielināt izredzes atgūt zaudētos līdzekļus.
Rezultāti
API atslēgas nodrošina pamata autentifikācijas un autorizācijas funkcijas, un lietotājiem rūpīgi jāpārvalda un jāaizsargā savas atslēgas. API atslēgu drošas izmantošanas nodrošināšanai ir daudz slāņu un aspektu. Parasti API atslēga ir jāuzskata par jūsu konta paroli.
Saistītie raksti
Vispārīgi drošības principi
5 izplatītas kriptovalūtas izkrāpšanas un kā no tām izvairīties
