API (от англ. Application Programming Interface) — это программный интерфейс, который будет полезен для хранения данных, при работе с файловой системой, при программировании в социальных сетях, а также для интеграции с другими приложениями.
API-ключи — это ключи шифрования, которые состоят из случайно сгенерированных чисел и букв. С их помощью пользователь может произвести аутентификацию в системе.
В этой части нашей статьи мы продолжим знакомить вас с ключами API, расскажем, как безопасно сохранить данные, а также рассмотрим несколько примеров ключей.
Несмотря на свои недостатки, ключи API по-прежнему популярны и полезны для идентификации проектов. Ключи API во многом похожи на пароли и должны храниться в защищенном месте.
Ниже рассмотрим несколько шагов, которые вы можете предпринять, чтобы ограничить риск кражи вашего ключа:
Ниже мы приведем несколько примеров популярных API, а также рассмотрим, как они реализуют ключи API, чтобы обеспечить безопасность.
Платформа Google Maps использует ключи API для защиты своих запросов на картографические данные. После настройки учетной записи разработчика в Google вы можете легко создать ключ API Google Maps в области учетных данных.
Google также рекомендует пользователям ограничивать свои ключи API обслуживаемыми доменами и позволяет делать это в области учетных данных. Кроме того, API Google Maps принимает только запросы, которые защищены протоколом HTTPS.
Пример ключа API в запросе от Google Maps:
Для аутентификации запросов к своему API сервис обработки платежей Stripe предоставляет ключи API для каждой учетной записи разработчика. Он выдает два типа ключей API:
Stripe выдает две пары открытых и закрытых ключей: одну для вашего работающего приложения и одну для тестирования API. Ключи тестового API включают подстроку _test_ .
Stripe также позволяет пользователям генерировать ключи с большими ограничениями, если вы реализуете API в микросервисе.
Хотя ключи API — это не единственная мера безопасности API, они по-прежнему полезны для поставщиков API, а также важны для аутентификации интеграций API.
Важно помнить, что любой авторитетный API, который передает конфиденциальную информацию, должен содержать ключи API, чтобы обеспечить безопасность.
Ограничения для ключей API повышают безопасность, так как с помощью ключей вы можете отправлять только авторизованные запросы. Мы рекомендуем вам использовать и строго следовать всем инструкциям по настройке ограничений для ключей API.
При настройке ограничений укажите цифровой отпечаток сертификата SHA-1 ключа, который использовался для подписи в приложении. Ниже рассмотрим 2 вида сертификатов:
Источник: hubspot.com
Я даю согласие OOO «ЭсБилдер» (далее «BINN») на обработку моих персональных данных в соответствии со статьями 6, 9, 10, 18 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», указанных в онлайн-форме и/или предоставленных мною с целью:
Способы обработки персональных данных могут быть любыми, включая сбор, систематизацию, накопление, хранение, уточнение, обновление, изменение, воспроизведение, обезличивание, блокирование и уничтожение.
Настоящее согласие применяется в отношении обработки следующих данных: имя, номер телефона, адрес электронной почты (E-mail).
Настоящее согласие предоставляется сроком на пять лет. По истечении указанного срока действие согласия считается продленным на каждые следующие пять лет при отсутствии сведений о его отзыве.
Согласие может быть отозвано мною в любой момент путем направления в BINN подписанного мною письменного заявления.