API використовуються для програмних додатків для надсилання та отримання даних. API також можуть підключати одну програму до іншої для спільного використання функцій. Щоб підключитися до іншого API або спілкуватися з ним, потрібен ключ API. Ключі API є початковим кроком для захисту хмарних API.
Ключі API забезпечують авторизацію проекту. Ідентифікуючи виклик проекту, ви можете використовувати ключі API, щоб пов’язати інформацію про використання з цим проектом. Ключі API дозволяють Extensible Service Proxy (ESP) відхиляти виклики від проектів, яким не надано доступ або не ввімкнено в API.
Це повністю залежить від коду, який працює на сервері. Для багатьох API потрібен ключ, але цілком нормально мати API, який його не вимагає. Ключі API використовуються для захисту API, але деякі речі не потребують такого захисту.
Ключ API ніколи не повинен залишати ваш контроль. Ваш ключ API має передаватись лише між вашим сервером і сервером OpenAI. Якщо ви надішлете його клієнту, він майже напевно стане скомпрометованим.
Існує два основних способи захисту REST API: ключі API та Маркери OAuth. Ключі API хороші для даних лише для читання, але не такі хороші для авторизації. Маркери OAuth краще підходять для авторизації, але їх реалізація може бути складнішою. Найкращий спосіб захисту REST API залежить від конкретних потреб програми.
Відкриті ключі API можна використовувати для обох використовувати вразливості чи помилки в кодуванні самого API та через зловживання API (де доступ до API здійснюється або використовується не за призначенням). Приклади атак включають захоплення облікового запису, автоматичне створення облікового запису, сканування даних або DDoS-атаки.