API-ключ

Идентификатор для аутентификации с помощью API

Ключ интерфейса прикладного программирования ( API ) — это секретный уникальный идентификатор, используемый для аутентификации и авторизации пользователя, разработчика или вызывающей программы в API . ^{[1] [2]}

Поставщики облачных вычислений , такие как Google Cloud Platform и Amazon Web Services, рекомендуют использовать ключи API только для аутентификации проектов, а не пользователей-людей. ^{[3] [4]}

Использование

HTTP API

Ключи API для API на основе HTTP можно отправлять несколькими способами: ^[5]

В строке запроса :

POST  /что-то?api_key=abcdef12345  HTTP / 1.1

В качестве заголовка запроса :

GET  /something  HTTP / 1.1 X-API-ключ :  abcdef12345

В виде файла cookie :

GET  /something  HTTP / 1.1 Cookie :  X-API-KEY=abcdef12345

Безопасность

Ключи API обычно не считаются безопасными; они обычно доступны клиентам , что позволяет кому-то легко украсть ключ API. Ключи часто не имеют срока действия, то есть украденный ключ может использоваться неограниченное время, если только он не будет отозван или повторно сгенерирован. ^[6] Ключи должны быть секретом, известным только клиенту и серверу , поэтому они не должны передаваться по незащищенному каналу и могут считаться безопасными только при использовании в сочетании с другими механизмами безопасности, такими как HTTPS . ^[5]

При использовании ключей API существует несколько сценариев риска:

• Разработчики могут писать скрипты , содержащие ключи в открытом виде . ^[2]
• Разработчики могут жестко закодировать ключи в исходном коде и забыть об этом, когда они выпустят код. ^[2]
• Наличие незащищенных ключей в мобильных приложениях опасно. ^[2]

Эти риски обычно возникают из-за того, что ключ находится в открытом виде и потенциально доступен злоумышленникам. ^[2]

Инциденты

В 2017 году Fallible, фирма по обеспечению безопасности из Делавэра, проверила 16 000 приложений Android и выявила более 300 из них, содержащих жестко запрограммированные ключи API для таких сервисов, как Dropbox , Twitter и Slack . ^[7]

Ссылки

1. "API Key - Что такое API Key?". Последний вызов - RapidAPI Blog . Получено 20.09.2019 .
2. Lu, HongQian Karen (июнь 2014 г.). Хранение ключей API в сейфе. IEEE 7-я международная конференция по облачным вычислениям. doi :10.1109/CLOUD.2014.143 – через IEEE Xplore.
3. "Что такое API-ключ? - Объяснение API-ключей и токенов - AWS". Amazon Web Services, Inc. Получено 01.09.2024 .
4. "Зачем и когда использовать ключи API | Облачные конечные точки с OpenAPI". Google Cloud . Получено 2024-09-01 .
5. "API Keys". Архивировано из оригинала 2019-10-17.
6. "Зачем и когда использовать ключи API | Конечные точки облака с OpenAPI". Google Cloud . Получено 20 сентября 2019 г.
7. «Сотни популярных приложений Android содержат жестко закодированные секретные ключи». ZDNet . Получено 20 июня 2022 г. .

Источники книг

• Де, Браджеш (2017). Управление API: руководство архитектора по разработке и управлению API для вашей организации (1-е изд.). Нью-Йорк: Apress . ISBN 978-1-4842-1305-6. OCLC  978273106.

Внешние ссылки

• Зачем и когда использовать ключи API