什么是API密鑰及其安全使用指南

• 2023年11月03日 18:57

應(yīng)用編程接口(API)密鑰是應(yīng)用編程接口用來識別調(diào)用應(yīng)用程序或用戶的唯一代碼。API密鑰用于追蹤和控制API的使用者及其使用方式，并驗證和授權(quán)應(yīng)用程序，其運作原理與用戶名和密碼相似。API密鑰以單一密鑰或一組多個密鑰的形式出現(xiàn)。用戶應(yīng)該遵循最佳實踐，改善整體安全性，以防止API密鑰被盜并避免API密鑰泄露的相關(guān)后果。

API與API密鑰

要了解什么是API密鑰，必須先知道什么是API。應(yīng)用編程接口或API是允許兩個或多個應(yīng)用程序共享信息的軟件中介。例如，CoinMarketCap的API允許其他應(yīng)用程序檢索和使用價格、交易量和市值等加密貨幣數(shù)據(jù)。

API密鑰形式多樣，可以是單一密鑰或一組多個密鑰。不同的系統(tǒng)使用這些密鑰來驗證和授權(quán)應(yīng)用程序，類似于用戶名和密碼的使用原理。API客戶端使用API密鑰來驗證調(diào)用API的應(yīng)用程序。

例如，假設(shè)幣安學(xué)院要使用CoinMarketCap API，CoinMarketCap生成一個API密鑰，在幣安學(xué)院（API客戶端）請求API訪問權(quán)限時用于驗證其身份。幣安學(xué)院訪問CoinMarketCap的API時，應(yīng)將此API密鑰連同請求一起發(fā)送給CoinMarketCap。

此API密鑰僅限幣安學(xué)院使用，不得與他人共享或發(fā)送給他人。共享此API密鑰，即為允許第三方以幣安學(xué)院的身份訪問CoinMarketCap，并且第三方的任何操作都將顯示為來自幣安學(xué)院。

CoinMarketCap API還能借助API密鑰來確認應(yīng)用程序是否有權(quán)訪問所請求的資源。此外，API所有者用API密鑰能監(jiān)控API活動，例如請求的類型、流量和數(shù)量。

什么是API密鑰？

API密鑰用于控制和追蹤API的使用者及其使用方法?！癆PI密鑰”一詞對不同的系統(tǒng)而言含義有所不同。有些系統(tǒng)只有單一代碼，其他系統(tǒng)則有多個針對單一“API密鑰”的代碼。

因此，“API密鑰”是API用于驗證和授權(quán)調(diào)用用戶或應(yīng)用程序的唯一代碼或一組唯一代碼。有些代碼用于驗證，有些則用于創(chuàng)建加密簽名以證明請求的合法性。

驗證代碼通常統(tǒng)稱為“API密鑰”，用于加密簽名的代碼則名稱各異，例如“加密密鑰”、“公鑰”或“私鑰”。 驗證需要識別所涉及的實體，并確認其身份是否與所聲稱的一致。

另一方面，授權(quán)指定允許訪問的API服務(wù)。API密鑰的作用類似于賬戶的用戶名和密碼，可以連接到其他安全功能，以提高整體安全性。

每個API密鑰通常由API所有者作為特定實體生成（詳情見下方），每次調(diào)用API端點時需要用戶驗證或授權(quán)（或二者并用），并且都會用到相關(guān)密鑰。

加密簽名

有些API密鑰將加密簽名用作附加驗證層。用戶要向API發(fā)送某些數(shù)據(jù)時，可將另一個密鑰生成的數(shù)字簽名添加到請求中。API所有者使用密碼學(xué)，即可驗證此數(shù)字簽名是否與發(fā)送的數(shù)據(jù)匹配。

對稱簽名與非對稱簽名

通過API共享的數(shù)據(jù)可通過加密密鑰進行簽名。以下為密鑰的類別：

對稱密鑰

此類密鑰涉及用一個加密密鑰同時執(zhí)行數(shù)據(jù)簽名和簽名驗證。在對稱密鑰類別中，API密鑰和加密密鑰通常由API所有者生成，API服務(wù)必須用相同的加密密鑰驗證簽名。使用單一密鑰的主要優(yōu)勢在于，生成和驗證簽名的速度更快，所需算力更少。散列消息認證碼(HMAC)就是對稱密鑰的典型代表。

非對稱密鑰

此類密鑰涉及到私鑰與公鑰兩種密鑰的使用。二者之間存在區(qū)別，但通過密碼學(xué)相關(guān)聯(lián)。私鑰用于生成簽名，而公鑰用于驗證簽名。API密鑰由API所有者生成，私鑰和公鑰對則由用戶生成。API所有者只需使用公鑰進行簽名驗證，私鑰即可保持本地加密。

使用非對稱密鑰的主要優(yōu)勢在于，簽名生成與驗證密鑰獨立開來，安全性更高。這樣一來，外部系統(tǒng)可在無法生成簽名的情況下驗證簽名。另一個優(yōu)勢則是，有些非對稱加密系統(tǒng)支持私鑰添加密碼。RSA密鑰對便是其中的典型代表。

API密鑰是否安全？

API密鑰的職能取決于用戶。API密鑰類似于密碼，同樣需要謹(jǐn)慎對待。共享API密鑰與共享密碼差不多。這樣做用戶的賬戶會面臨風(fēng)險，因此不應(yīng)該共享。

API密鑰能在系統(tǒng)中執(zhí)行強大的操作，常常會成為網(wǎng)絡(luò)攻擊目標(biāo)。各種操作包括請求個人信息或執(zhí)行金融交易等。事實上，已經(jīng)發(fā)生過網(wǎng)絡(luò)爬蟲攻擊在線代碼數(shù)據(jù)庫，竊取API密鑰得手的案例。

API密鑰遭竊的后果很嚴(yán)重，可能會導(dǎo)致重大經(jīng)濟損失。此外，有些API密鑰不會過期。一旦被盜，只要密鑰本身未作廢，攻擊者就能無度使用。

使用API密鑰的最佳實踐

API密鑰能訪問敏感數(shù)據(jù)并普遍存在漏洞，因此使用安全至關(guān)重要。使用API密鑰提高整體安全性時，敬請遵循以下最佳實踐指南：

盡量頻繁變更API密鑰。這意味著應(yīng)刪除當(dāng)前的API密鑰并創(chuàng)建新密鑰。對于多個系統(tǒng)，生成和刪除API密鑰很容易。某些系統(tǒng)要求用戶每30天至90天更改密碼。與之相似，盡量按此頻率更換API密鑰。

使用IP白名單：創(chuàng)建API密鑰時，制定一份授權(quán)使用該密鑰的IP列表（即IP白名單），或者詳列IP屏蔽清單（即IP黑名單）。這樣即使API密鑰被盜，無法識別的IP則不得訪問。

使用多個API密鑰：擁有多個密鑰并劃分各個密鑰的職能將能降低安全風(fēng)險，原因在于安全性不由具有廣泛權(quán)限的單一密鑰決定。您可以為每個密鑰設(shè)置不同的IP白名單，進一步降低安全風(fēng)險。

安全存儲API密鑰：不要將密鑰存儲在公共場所或公共計算機上；不要以原始純文本格式存儲。相反，為了提高安全性，請加密或使用加密管理器單獨存儲各個密鑰，不要無意暴露。

請勿透露個人的API密鑰。共享API密鑰與共享密碼大同小異。共享即表示向另一方授予本人的驗證和授權(quán)權(quán)限。API密鑰泄露后，將會遭到竊取并用于侵入個人賬戶。API密鑰僅限本人與生成該密鑰的系統(tǒng)使用。

API密鑰泄露后，請先禁用以防造成更大的損失。如造成經(jīng)濟損失，請將事件相關(guān)的關(guān)鍵信息截圖，聯(lián)系相關(guān)單位，并向警方報案。這是增加追回損失資金幾率的最佳做法。 

結(jié)語

API密鑰提供核心的驗證和授權(quán)功能，用戶必須謹(jǐn)慎管理和保護自己的密鑰。保障API密鑰的安全使用應(yīng)該考慮多層次、多方面的因素。總而言之，API密鑰應(yīng)視作個人賬戶密碼。

該內(nèi)容轉(zhuǎn)自幣安學(xué)院

免責(zé)聲明:什么是API密鑰及其安全使用指南文章轉(zhuǎn)發(fā)自互聯(lián)網(wǎng)，版權(quán)歸其所有。
文章內(nèi)容不代表本站立場和任何投資暗示。加密貨幣市場極其波動，風(fēng)險很高，可能不適合所有投資者。在投資加密貨幣之前，請確保自己充分了解市場和投資的風(fēng)險，并考慮自己的財務(wù)狀況和風(fēng)險承受能力。此外，請遵循您所在國家的法律法規(guī)，以及遵守交易所和錢包提供商的規(guī)定。對于任何因使用加密貨幣所造成的投資損失或其他損失，本站不承擔(dān)任何責(zé)任。