Khóa giao diện lập trình ứng dụng (API) là một mã duy nhất mà API sử dụng để xác định ứng dụng hoặc người dùng đang gọi nó. Khóa API được sử dụng để theo dõi và kiểm soát ai đang sử dụng API và cách họ sử dụng API đó, cũng như để xác thực và ủy quyền cho các ứng dụng, tương tự như cách hoạt động của tên người dùng và mật khẩu. Khóa API có thể ở dạng một khóa hoặc một nhóm nhiều khóa. Người dùng nên làm theo các phương pháp hay nhất để cải thiện khả năng bảo mật tổng thể của mình trước hành vi trộm cắp khóa API và tránh những hậu quả liên quan đến việc khóa API bị xâm phạm.

API so với API clave

Để hiểu khóa API là gì, trước tiên chúng ta phải biết API là gì. Giao diện lập trình ứng dụng hoặc API là phần mềm trung gian cho phép chia sẻ thông tin giữa hai hoặc nhiều ứng dụng. Ví dụ: API CoinMarketCap cho phép các ứng dụng khác lấy và sử dụng dữ liệu về tiền điện tử, chẳng hạn như giá, khối lượng và vốn hóa thị trường.

Mặt khác, khóa API có thể có nhiều dạng khác nhau. Nó có thể là một phím duy nhất hoặc một nhóm nhiều phím. Các khóa này được các hệ thống khác nhau sử dụng để xác thực và ủy quyền cho một ứng dụng, tương tự như cách sử dụng tên người dùng và mật khẩu. Ứng dụng khách API sử dụng các loại khóa này để xác thực ứng dụng khi gọi API.

Ví dụ: nếu Binance Academy muốn sử dụng API của CoinMarketCap, CoinMarketCap sẽ tạo khóa API và sử dụng nó để xác thực danh tính của Binance Academy (ứng dụng khách API), đang yêu cầu quyền truy cập vào API. Khi Binance Academy truy cập API CoinMarketCap, bạn phải gửi khóa API tới CMC cùng với yêu cầu.

Khóa API này chỉ được Binance Academy sử dụng và không được chia sẻ hoặc gửi cho bên thứ ba. Việc chia sẻ khóa API này sẽ cho phép bên thứ ba truy cập CoinMarketCap với tư cách là Binance Academy, do đó, mọi hành động của bên thứ ba thực hiện sẽ xuất hiện như thể nó đến từ Binance Academy.

API CoinMarketCap cũng có thể sử dụng khóa API này để xác nhận xem ứng dụng có được phép truy cập tài nguyên được yêu cầu hay không. Ngoài ra, chủ sở hữu API sử dụng khóa API để giám sát hoạt động API, chẳng hạn như loại yêu cầu, lưu lượng truy cập và khối lượng.

Khóa API là gì?

Khóa API được sử dụng để giám sát và theo dõi ai đang sử dụng API và cách họ sử dụng API đó. Thuật ngữ “khóa API” có thể đề cập đến nhiều thứ khác nhau cho các hệ thống khác nhau. Một số hệ thống có thể có một mã duy nhất, trong khi những hệ thống khác có thể có nhiều mã cho một “khóa API”.

Như vậy, “Khóa API” là một mã hoặc nhóm mã duy nhất mà API sử dụng để xác thực và ủy quyền cho người dùng hoặc ứng dụng gọi nó. Một số mã được sử dụng để xác thực và các mã khác để tạo chữ ký mật mã chứng minh tính hợp pháp của yêu cầu.

Các mã xác thực này được gọi chung là “khóa API”, trong khi các mã được sử dụng cho chữ ký mật mã có nhiều tên khác nhau, chẳng hạn như “khóa bí mật”, khóa chung” hoặc “khóa riêng”. Xác thực bao gồm việc xác định các thực thể có liên quan và xác nhận rằng họ đúng như những gì họ nói.

Mặt khác, ủy quyền chỉ định các dịch vụ API được cấp quyền truy cập. Chức năng của khóa API tương tự như tên người dùng và mật khẩu tài khoản. Nó cũng có thể kết nối với các tính năng bảo mật khác để cải thiện tính bảo mật tổng thể.

Chủ sở hữu API thường tạo khóa API cho một thực thể cụ thể (xem thêm chi tiết bên dưới) và mỗi lần thực hiện lệnh gọi tới điểm cuối API (yêu cầu xác thực người dùng, ủy quyền hoặc cả hai), khóa đó sẽ được sử dụng theo yêu cầu.

Chữ ký mật mã

Một số khóa API sử dụng chữ ký mật mã làm lớp xác minh bổ sung. Khi người dùng muốn gửi một số dữ liệu nhất định tới API, có thể thêm chữ ký số được tạo bởi một khóa khác vào yêu cầu. Bằng cách sử dụng mật mã, chủ sở hữu API có thể xác minh rằng chữ ký số này khớp với dữ liệu được gửi.

Chữ ký đối xứng và bất đối xứng

Dữ liệu được chia sẻ thông qua API có thể được ký bằng khóa mật mã, thuộc các loại sau:

Phím đối xứng

Chúng liên quan đến việc sử dụng khóa bí mật để thực hiện cả việc ký dữ liệu và xác minh chữ ký. Với khóa đối xứng, chủ sở hữu API thường tạo khóa API và khóa bí mật, đồng thời dịch vụ API phải sử dụng cùng một khóa bí mật để xác minh chữ ký. Ưu điểm chính của việc sử dụng một khóa duy nhất là làm như vậy nhanh hơn và đòi hỏi ít sức mạnh tính toán hơn để tạo và xác minh chữ ký. Một ví dụ điển hình về khóa đối xứng là HMAC (Mã xác thực tin nhắn dựa trên hàm băm).

Phím bất đối xứng

Chúng liên quan đến việc sử dụng hai khóa: khóa riêng khác nhau và khóa chung, nhưng được liên kết bằng mật mã. Khóa riêng được sử dụng để tạo chữ ký và khóa chung được sử dụng để xác minh chữ ký. Chủ sở hữu API tạo khóa API nhưng chính người dùng mới là người tạo cặp khóa chung và khóa riêng. Chủ sở hữu API chỉ được sử dụng khóa chung để xác minh chữ ký, sao cho khóa riêng vẫn được giữ nguyên và giữ bí mật.

Ưu điểm chính của việc sử dụng khóa bất đối xứng là có tính bảo mật cao hơn bằng cách tách biệt khóa tạo và xác minh chữ ký. Điều này cho phép các hệ thống bên ngoài xác minh chữ ký mà không thể tạo ra chúng. Một ưu điểm khác là một số hệ thống mã hóa bất đối xứng cho phép thêm mật khẩu vào khóa riêng. Một ví dụ điển hình là cặp khóa RSA (Rivest-Shamir-Adelman, tên viết tắt là tên viết tắt của họ của người sáng tạo).

Khóa API có an toàn không?

Trách nhiệm đối với khóa API thuộc về người dùng. Khóa API tương tự như mật khẩu và cần được xử lý cẩn thận. Chia sẻ khóa API cũng tương tự như chia sẻ mật khẩu và không nên thực hiện việc này vì điều này sẽ khiến tài khoản của người dùng gặp rủi ro.

Khóa API thường xuyên là mục tiêu của các cuộc tấn công mạng vì chúng có thể được sử dụng để thực hiện các hoạt động quan trọng trong hệ thống, chẳng hạn như yêu cầu thông tin cá nhân hoặc thực hiện các giao dịch tài chính. Trên thực tế, đã có trường hợp trình thu thập thông tin tấn công thành công cơ sở dữ liệu bằng mã trực tuyến để đánh cắp khóa API.

Hậu quả của việc đánh cắp khóa API có thể rất thảm khốc và dẫn đến tổn thất tài chính đáng kể. Ngoài ra, do một số khóa API không hết hạn nên kẻ tấn công có thể sử dụng chúng vô thời hạn cho đến khi chính khóa đó bị thu hồi.

Các phương pháp hay nhất khi sử dụng khóa API

Do khả năng truy cập vào dữ liệu nhạy cảm và lỗ hổng tổng thể nên việc sử dụng khóa API một cách an toàn là cực kỳ quan trọng. Bạn có thể làm theo các phương pháp hay nhất sau khi sử dụng khóa API để cải thiện tính bảo mật tổng thể của chúng:

1. Nếu có thể, hãy thay đổi khóa API của bạn thường xuyên. Điều này có nghĩa là bạn phải xóa khóa API hiện tại của mình và tạo một khóa mới. Trên một số hệ thống, việc tạo và xóa khóa API rất dễ dàng. Tương tự như cách một số hệ thống yêu cầu bạn thay đổi mật khẩu 30 hoặc 90 ngày một lần, bạn nên thay đổi khóa API thường xuyên nếu có thể.

2. Sử dụng danh sách trắng IP: Khi bạn tạo khóa API, hãy tạo danh sách các IP được phép sử dụng khóa (danh sách trắng IP). Đồng thời thiết lập danh sách IP bị chặn (danh sách đen IP). Vì vậy, ngay cả khi khóa API của bạn bị đánh cắp, bạn sẽ không thể sử dụng nó với một IP không được nhận dạng.

3. Sử dụng nhiều khóa API: Việc có nhiều khóa và phân chia trách nhiệm giữa chúng sẽ giảm rủi ro bảo mật vì bảo mật của bạn sẽ không phụ thuộc vào một khóa duy nhất có nhiều quyền. Bạn cũng có thể đặt danh sách IP khác nhau cho mỗi khóa, giúp giảm hơn nữa rủi ro bảo mật.

4. Lưu trữ khóa API một cách an toàn: Không lưu trữ khóa của bạn trong môi trường công cộng, trên máy tính công cộng hoặc ở định dạng văn bản thuần túy ban đầu của chúng. Thay vào đó, hãy lưu từng cái thông qua mã hóa hoặc Trình quản lý bí mật để bảo mật tốt hơn và cẩn thận để không vô tình làm lộ chúng.

5. Không chia sẻ khóa API của bạn. Chia sẻ khóa API cũng tương tự như chia sẻ mật khẩu của bạn. Bằng cách đó, bạn cung cấp cho bên thứ ba các đặc quyền xác thực và ủy quyền giống như bạn có. Nếu mật khẩu của bạn bị xâm phạm, chúng có thể được sử dụng để hack tài khoản của bạn. Khóa API chỉ nên được sử dụng giữa hệ thống đã tạo khóa đó và chủ sở hữu khóa.
   
   

Nếu khóa API của bạn bị xâm phạm, trước tiên bạn nên tắt khóa đó để tránh thiệt hại thêm. Nếu xảy ra bất kỳ tổn thất tài chính nào, hãy chụp ảnh màn hình các thông tin chính liên quan đến vụ việc, liên hệ với các đơn vị liên quan và nộp báo cáo cho cảnh sát. Đây là cách tốt nhất để tăng cơ hội lấy lại số tiền bị mất.

Kết luận

Khóa API cung cấp các chức năng xác thực và ủy quyền thiết yếu, vì vậy người dùng nên quản lý và bảo vệ khóa của mình một cách cẩn thận. Có nhiều lớp và khía cạnh để đảm bảo việc sử dụng khóa API một cách an toàn. Nhưng nói chung, khóa API phải được coi như mật khẩu để truy cập vào tài khoản của bạn.

đọc thêm

• Nguyên tắc bảo mật chung

• 5 trò lừa đảo tiền điện tử phổ biến và cách tránh chúng