Itqualityassurance
- Czy powinienem ukryć swój klucz API?
- Jak chronić moje klucze API?
- Co jeśli klucz API jest odsłonięty?
- Czy ktoś może ukraść mój klucz API?
Czy powinienem ukryć swój klucz API?
Czy muszę ukryć moje klucze API? Tajne klucze API nigdy nie powinny być umieszczane w kodzie po stronie klienta lub powinny być ukryte. Jednak klucze API tylko do odczytu nie stanowią żadnego ryzyka, jeśli wklejesz je w kodzie JavaScript, który popełni w przeglądarce.
Jak chronić moje klucze API?
Jeśli przechowujesz klucze API lub inne prywatne informacje w plikach, trzymaj pliki poza drzewem źródłowym aplikacji, aby utrzymać klucze z systemu kontroli kodu źródłowego. Jest to szczególnie ważne, jeśli korzystasz z publicznego systemu zarządzania kodami źródłowymi, taki jak GitHub.
Co jeśli klucz API jest odsłonięty?
Odsłonięte klucze API mogą być używane zarówno do wykorzystania luk w zabezpieczeniach lub błędach w kodowaniu samego interfejsu API, jak i poprzez nadużycie interfejsu API (gdzie dostęp do interfejsu API jest dostępny lub używany w sposób, który nie był zamierzony). Przykładowe ataki obejmują przejęcie konta, zautomatyzowane tworzenie konta, skrobanie danych lub ataki DDOS.
Czy ktoś może ukraść mój klucz API?
Co gorsza, przestępcy mogą z łatwością obejść „wyłącznie handlowe” ustawienia klawiszy API i kraść pieniądze z kont handlowców, nawet bez uzyskania poświadczeń rachunków lub praw do wypłaty.
