Я бачу це слово майже в кожній програмі крос-сервісу в наші дні.
Що саме являє собою ключ API та які його використання?
Також, в чому різниця між публічними та приватними ключами API.
Я бачу це слово майже в кожній програмі крос-сервісу в наші дні.
Що саме являє собою ключ API та які його використання?
Також, в чому різниця між публічними та приватними ключами API.
Відповіді:
Для чого саме використовується ключ API, дуже залежить від того, хто його видає та для яких служб він використовується. За великим рахунком, ключ API - це ім'я, яке надається певній формі секретного маркера, який подається поряд із запитами веб-служб (або подібних) для того, щоб визначити походження запиту. Ключ може бути включений у деякий дайджест вмісту запиту для подальшої перевірки походження та запобігання підробці значень.
Як правило, якщо ви можете ідентифікувати джерело запиту позитивно, він виступає як форма аутентифікації, що може призвести до контролю доступу. Наприклад, ви можете обмежити доступ до певних дій API, залежно від того, хто виконує запит. Для компаній, які заробляють гроші на продажу таких послуг, це також спосіб відстеження, хто використовує річ для цілей виставлення рахунків. Крім того, заблокувавши ключ, ви можете частково запобігти зловживанням у разі занадто високого обсягу запитів.
Загалом, якщо у вас є і відкритий, і приватний ключ API, тоді це говорить про те, що ключі самі по собі є традиційною парою публічних / приватних ключів, яка використовується в якійсь формі асиметричної криптографії або пов'язаної з цим цифровим підписом. Це більш безпечні прийоми позитивного виявлення джерела запиту та додатково для захисту вмісту запиту від прокрадання (крім підробки).
Дуже загально кажучи:
Ключ API просто ідентифікує вас.
Якщо існує публічне / приватне розрізнення, тоді відкритий ключ - це той, який ви можете поширити іншим, щоб вони могли отримати деяку підмножину інформації про вас з api. Приватний ключ призначений виключно для використання та забезпечує доступ до всіх ваших даних.
Схоже, що багато людей використовують ключі API як рішення безпеки. Суть полягає в тому, що ніколи не ставитися до ключів API як до секретних . На https чи ні той, хто може прочитати запит, може побачити ключ API і може здійснити будь-який дзвінок, який захоче. Ключ API повинен бути таким же ідентифікатором "користувача", оскільки його не є повноцінним рішенням безпеки навіть при використанні з ssl.
Кращий опис міститься в посиланні Євгена Осовецького на: Під час роботи з більшістю API, чому вони вимагають два типи аутентифікації, а саме ключ та секрет? Або перевірте http://nordicapis.com/why-api-keys-are-not-enough/
Ключ API - це унікальне значення, яке присвоюється користувачеві цієї послуги, коли він приймається користувачем послуги.
Сервіс підтримує всі видані ключі та перевіряє їх при кожному запиті.
Переглядаючи наданий ключ у запиті, служба перевіряє, чи є дійсним ключем, щоб вирішити, надавати доступ користувачеві чи ні.
Подумайте про це так: "Public API Key" схожий на ім'я користувача, яке ваша база даних використовує як вхід на сервер підтвердження. Потім "Приватний ключ API" буде подібний до пароля. За допомогою веб-сайту / бази даних, використовуючи цей метод, захист підтримується на сторонній сервері / сервері підтвердження з метою автентичного запиту розміщення чи редагування вашого сайту / бази даних.
Рядок API - це лише URL-адреса для входу для вашого веб-сайту / бази даних, щоб зв’язатися з сервером підтвердження.