Что такое ключ API?

Ответ 1

То, что используется "точно" для ключа API, очень зависит от того, кто его выдает, и от каких служб он используется. Однако, в общем, ключ API - это имя, присвоенное той или иной форме секретного токена, которое передается вместе с запросами веб-службы (или подобных) для идентификации происхождения запроса. Ключ может быть включен в некоторый дайджест содержимого запроса, чтобы дополнительно проверить происхождение и предотвратить подделку значений.

Как правило, если вы можете положительно идентифицировать источник запроса, он действует как форма проверки подлинности, что может привести к контролю доступа. Например, вы можете ограничить доступ к определенным действиям API на основании того, кто выполняет запрос. Для компаний, которые зарабатывают деньги от продажи таких услуг, это также способ отслеживания того, кто использует эту вещь для выставления счетов. Кроме того, блокируя ключ, вы можете частично предотвратить злоупотребление в случае слишком высоких объемов запросов.

В общем случае, если у вас есть открытый и закрытый ключ API, тогда он предполагает, что ключи сами являются традиционной парной открытого/закрытого ключа, используемой в той или иной форме асимметричная криптография или связанное цифровое подписание. Это более безопасные методы для позитивной идентификации источника запроса и, кроме того, для защиты содержимого запроса от отслеживания (в дополнение к подделке).

Ответ 2

В общем говоря:

Ключ API просто идентифицирует вас.

Если существует различие между общедоступными/частными, то открытый ключ - это тот, который вы можете распространять среди других, чтобы они могли получить некоторые подмножества информации о вас из api. Закрытый ключ предназначен только для вашего использования и обеспечивает доступ ко всем вашим данным.

Ответ 3

Похоже, что многие люди используют ключи API в качестве решения безопасности. Суть в следующем: Никогда не рассматривайте ключи API как секретные, это не так. На https или нет, любой, кто может прочитать запрос, может увидеть ключ API и может сделать любой вызов, который он хочет. Ключ API должен быть идентичным идентификатору пользователя, поскольку он не является полным решением безопасности даже при использовании с ssl.

Лучшее описание в Евгении Осовецком - ссылка на: При работе с большинством API-интерфейсов зачем им два типа аутентификации, а именно ключ и секрет? Или проверить http://nordicapis.com/why-api-keys-are-not-enough/

Ответ 4

Ключ API - это уникальное значение, которое присваивается пользователю этой услуги, когда он принимал его как пользователя службы.

Служба поддерживает все выданные ключи и проверяет их при каждом запросе.

Посмотрев на предоставленный ключ по запросу, служба проверяет, является ли он действительным ключом, чтобы решить, предоставлять ли доступ пользователю или нет.

Ответ 5

Ключи API - это всего лишь один из способов аутентификации пользователей веб-сервисов.

Ответ 6

Подумайте об этом так: "Открытый API-ключ" похож на имя пользователя, которое ваша база данных использует в качестве входа на сервер проверки. Тогда "Частный API-ключ" будет похож на пароль. С помощью этого метода на сайте /databse безопасность поддерживается на сервере третьей стороны/верификации, чтобы аутентифицировать запрос на публикацию или редактирование вашего сайта/базы данных.

Строка API - это только URL-адрес входа для вашего сайта/базы данных, чтобы связаться с сервером проверки.