O cheie de interfață de programare a aplicației (API) este un cod unic utilizat de un API pentru a identifica o aplicație sau un utilizator. Cheile API sunt folosite pentru a urmări și controla cine utilizează API-ul și cum și pentru a autentifica și autoriza aplicațiile într-un mod similar parolelor și autentificărilor. O cheie API poate fi o singură cheie sau un set de chei multiple. Utilizatorii ar trebui să acorde atenție securității lor pentru a se proteja de furtul și scurgerea datelor.
API și cheie API
Pentru a înțelege ce este o cheie API, trebuie mai întâi să vă uitați la API-ul în sine. O interfață de programare a aplicațiilor, sau API, este un intermediar software care permite schimbul de informații între două sau mai multe aplicații. De exemplu, API-ul CoinMarketCap permite altor aplicații să preia și să utilizeze date despre criptomonede, cum ar fi prețul, volumul și capitalizarea pieței.
O cheie API poate fi o singură cheie sau un set de chei multiple. Diverse sisteme folosesc aceste chei pentru a autentifica și autoriza aplicațiile, la fel ca login-urile și parolele. Cheia API este utilizată de clientul API pentru a autentifica aplicația care apelează API-ul.
De exemplu, dacă Academia Binance dorește să folosească API-ul CoinMarketCap, atunci CoinMarketCap va genera o cheie API și o va folosi pentru a autentifica Academia Binance (client API) care solicită acces la API. Când Binance Academy accesează API-ul CoinMarketCap, cheia API este trimisă la CoinMarketCap împreună cu solicitarea.
În acest exemplu, numai Binance Academy poate folosi cheia API fără a o partaja cu terțe părți. Partajarea acestei chei API va permite unei terțe părți să acceseze CoinMarketCap și să efectueze acțiuni în numele Academiei Binance.
În plus, API-ul CoinMarketCap poate folosi cheia API pentru a verifica dacă aplicația este autorizată să acceseze resursa solicitată. Proprietarii de API pot folosi, de asemenea, chei API pentru a urmări activitatea API, inclusiv tipurile de solicitări, traficul și volumul.
Ce este o cheie API
Cheia API este utilizată pentru a controla și urmări cine utilizează API-ul și cum. Termenul „cheie API” în sine poate avea mai multe semnificații. Unele sisteme au un singur cod, în timp ce altele au mai multe coduri pentru o singură cheie API.
Cu alte cuvinte, o cheie API este un cod unic sau un set de coduri unice utilizate de un API pentru a autentifica și autoriza utilizatorul sau aplicația care apelează. Unele coduri sunt folosite pentru autentificare, în timp ce altele sunt folosite pentru a crea semnături criptografice care confirmă legitimitatea cererii.
Aceste coduri de autentificare sunt numite „cheie API”, în timp ce codurile pentru crearea semnăturilor criptografice au diverse denumiri precum „cheie secretă”, „cheie publică” sau „cheie privată”. Autentificarea presupune identificarea entităților implicate și confirmarea identității.
Autorizarea, la rândul său, determină serviciile API la care este permis accesul. O cheie API funcționează similar cu datele de conectare și cu o parolă de cont și poate fi, de asemenea, conectată la alte funcții de securitate pentru a îmbunătăți securitatea generală.
Proprietarul API generează fiecare cheie API în mod specific pentru o anumită entitate (mai multe despre aceasta mai jos) și de fiecare dată când este apelat un punct final API care necesită autentificarea și/sau autorizarea utilizatorului, se folosește cheia corespunzătoare.
Semnături criptografice
Unele chei API folosesc semnături criptografice ca un strat suplimentar de verificare. Când un utilizator dorește să transmită anumite date către API, la cerere poate fi adăugată o semnătură digitală generată de o cheie diferită. Utilizând criptografia, proprietarul API-ului va putea verifica dacă semnătura digitală se potrivește cu datele trimise.
Semnături simetrice și asimetrice
Următoarele categorii de chei criptografice sunt folosite pentru a semna datele trimise prin API:
Taste simetrice
Acestea implică utilizarea unei chei secrete pentru a semna datele și a verifica semnătura. Când se utilizează chei simetrice, proprietarul API generează o cheie API și o cheie secretă, care este utilizată pentru verificarea semnăturii de către serviciile API. Principalul avantaj al utilizării unei singure chei este că accelerează procesul de generare și verificare a semnăturii și necesită mai puțină putere de calcul. Un exemplu de cheie simetrică bună este HMAC.
Chei asimetrice
Ele presupun utilizarea a două chei: private și publice, care sunt diferite una de cealaltă, dar au o conexiune criptografică. Cheia privată este folosită pentru a genera semnătura, iar cheia publică este folosită pentru a o verifica. Proprietarul API generează cheia API, iar utilizatorul generează cheile private și publice. Pentru a verifica semnătura, proprietarul API-ului folosește doar cheia publică, în timp ce cheia privată este ținută secretă.
Principalul avantaj al utilizării cheilor asimetrice este securitatea sporită prin separarea sarcinilor de generare a semnăturii și de verificare a semnăturii. Acest lucru permite sistemelor externe să verifice semnăturile fără a le putea genera. În plus, unele sisteme de criptare asimetrică acceptă adăugarea unei parole la cheile private. Un exemplu este o pereche de chei RSA.
Securitate cheie API
Securitatea cheii API este responsabilitatea utilizatorului. Cheile API acționează ca parole și necesită aceeași îngrijire. Nu ar trebui să partajați cheia dvs. API cu terțe părți, deoarece acest lucru va fi similar cu partajarea parolei și vă poate pune contul în pericol.
Cheile API sunt adesea ținta atacurilor cibernetice, deoarece pot fi utilizate pentru a efectua operațiuni sensibile ale sistemului, cum ar fi solicitarea de informații personale sau efectuarea de tranzacții financiare. Au existat deja cazuri când atacatorii au atacat bazele de date online cu coduri și au furat chei API.
Furtul cheilor API poate duce la consecințe negative și pierderi financiare semnificative. În plus, unele chei API nu expiră, așa că atacatorii le pot folosi înainte ca cheile să fie dezactivate.
Sfaturi pentru utilizarea în siguranță a cheilor API
Cheile API oferă acces la date sensibile, așa că este esențial să le folosiți în siguranță. Urmați aceste instrucțiuni pentru utilizarea în siguranță a cheilor API:
Încercați să schimbați periodic cheile API. Pentru a schimba cheia, trebuie să ștergeți cheia API actuală și să creați una nouă. Când utilizați mai multe sisteme, ștergerea și generarea cheilor API nu este dificilă. Așa cum unele sisteme necesită schimbarea parolei la fiecare 30 până la 90 de zile, proprietarii de chei ar trebui să schimbe cheile API cu aceeași frecvență, dacă este posibil.
Creați o listă albă de adrese IP. Când creați o nouă cheie API, creați o listă de adrese IP cărora li se va permite să utilizeze această cheie (lista albă IP). În plus, puteți specifica și o listă de adrese IP blocate (lista neagră IP). Apoi, dacă cheia este furată, adresa IP nerecunoscută nu o va putea folosi.
Utilizați mai multe chei API. A avea mai multe chei și distribuirea sarcinilor între ele reduce riscurile, deoarece securitatea contului nu va depinde de o singură cheie utilizată pentru toate sarcinile simultan. În plus, pentru fiecare cheie puteți crea diferite liste albe de adrese IP, crescând astfel semnificativ nivelul de securitate.
Asigurați-vă că cheile API sunt stocate în siguranță. Nu stocați cheile în locuri publice, pe computere publice sau în format text simplu. Pentru a crește securitatea fiecărei chei, utilizați criptarea sau un serviciu de gestionare a datelor confidențiale și aveți grijă să nu le dezvăluiți accidental.
Nu împărtășiți nimănui cheile dvs. API. A da cuiva o cheie API este același lucru cu a-i oferi o parolă. În acest caz, terța parte primește aceleași capacități de autentificare și autorizare ca și dvs. În cazul unei scurgeri de date, cheia API ar putea fi furată și utilizată pentru a vă sparge contul. Cheia API ar trebui să fie utilizată numai de dvs. și de sistemul care o generează.
Dacă cheia dvs. API cade în mâinile unor terțe părți, asigurați-vă că o dezactivați pentru a preveni alte daune. În caz de pierdere financiară, faceți capturi de ecran ale informațiilor cheie despre incident și contactați organizațiile relevante, precum și depuneți un raport de poliție. În acest fel, îți poți crește șansele de a recupera fondurile pierdute.
În concluzie
Cheile API oferă funcții de autentificare și autorizare, astfel încât utilizatorii ar trebui să le stocheze în siguranță și să le folosească cu prudență. Există multe niveluri și modalități de a securiza cheile API. Cheia API trebuie tratată în același mod ca parola contului dvs.
Lectură recomandată
Principii generale de securitate
5 tipuri comune de escrocherii cu criptomonede și cum să le evitați
