Ich sehe dieses Wort heutzutage in fast jeder Cross-Service-Anwendung.
Was genau ist ein API-Schlüssel und wozu dient er?
Was ist der Unterschied zwischen öffentlichen und privaten API-Schlüsseln?
Ich sehe dieses Wort heutzutage in fast jeder Cross-Service-Anwendung.
Was genau ist ein API-Schlüssel und wozu dient er?
Was ist der Unterschied zwischen öffentlichen und privaten API-Schlüsseln?
Antworten:
Wofür "genau" ein API-Schlüssel verwendet wird, hängt stark davon ab, wer ihn ausgibt und für welche Dienste er verwendet wird. Im Großen und Ganzen ist ein API-Schlüssel jedoch der Name einer Form eines geheimen Tokens, das zusammen mit Webdienstanforderungen (oder ähnlichen Anforderungen) gesendet wird, um den Ursprung der Anforderung zu identifizieren. Der Schlüssel kann in einem Digest des Anforderungsinhalts enthalten sein, um den Ursprung weiter zu überprüfen und Manipulationen an den Werten zu verhindern.
Wenn Sie die Quelle einer Anforderung eindeutig identifizieren können, fungiert sie normalerweise als Authentifizierungsform, die zur Zugriffskontrolle führen kann. Sie können beispielsweise den Zugriff auf bestimmte API-Aktionen einschränken, je nachdem, wer die Anforderung ausführt. Für Unternehmen, die mit dem Verkauf solcher Dienstleistungen Geld verdienen, ist dies auch eine Möglichkeit, zu verfolgen, wer das Objekt für Abrechnungszwecke verwendet. Darüber hinaus können Sie durch Blockieren eines Schlüssels Missbrauch bei zu hohen Anforderungsvolumina teilweise verhindern.
Wenn Sie sowohl einen öffentlichen als auch einen privaten API-Schlüssel haben, bedeutet dies im Allgemeinen, dass die Schlüssel selbst ein traditionelles öffentliches / privates Schlüsselpaar sind, das in irgendeiner Form von asymmetrischer Kryptografie oder verwandter digitaler Signatur verwendet wird. Dies sind sicherere Techniken zum eindeutigen Identifizieren der Quelle einer Anforderung und zum Schutz des Inhalts der Anforderung vor Schnüffeln (zusätzlich zu Manipulationen).
Ganz allgemein gesagt:
Ein API-Schlüssel identifiziert Sie einfach.
Wenn es eine öffentliche / private Unterscheidung gibt, können Sie den öffentlichen Schlüssel an andere verteilen, damit diese von der API eine Teilmenge der Informationen über Sie abrufen können. Der private Schlüssel ist nur für Ihre Verwendung bestimmt und bietet Zugriff auf alle Ihre Daten.
Es sieht so aus, als würden viele Leute API-Schlüssel als Sicherheitslösung verwenden. Das Fazit lautet: Behandeln Sie API-Schlüssel niemals als geheim , was nicht der Fall ist. Auf https oder nicht, wer die Anfrage lesen kann, kann den API-Schlüssel sehen und jeden gewünschten Anruf tätigen. Ein API-Schlüssel sollte genauso eine 'Benutzer'-ID sein wie eine nicht vollständige Sicherheitslösung, selbst wenn er mit ssl verwendet wird.
Die bessere Beschreibung finden Sie in Eugene Osovetskys Link zu: Wenn Sie mit den meisten APIs arbeiten, warum benötigen sie zwei Arten der Authentifizierung, nämlich einen Schlüssel und ein Geheimnis? Oder überprüfen Sie http://nordicapis.com/why-api-keys-are-not-enough/
Ein API-Schlüssel ist ein eindeutiger Wert, der einem Benutzer dieses Dienstes zugewiesen wird, wenn er als Benutzer des Dienstes akzeptiert wird.
Der Dienst verwaltet alle ausgegebenen Schlüssel und überprüft sie bei jeder Anforderung.
Durch Betrachten des bereitgestellten Schlüssels bei der Anforderung prüft ein Dienst, ob es sich um einen gültigen Schlüssel handelt, um zu entscheiden, ob einem Benutzer Zugriff gewährt werden soll oder nicht.
Stellen Sie sich das so vor: Der "öffentliche API-Schlüssel" ähnelt einem Benutzernamen, den Ihre Datenbank als Anmeldung bei einem Überprüfungsserver verwendet. Der "Private API Key" würde dann dem Passwort ähnlich sein. Durch die Site / Datenbank, die diese Methode verwendet, wird die Sicherheit auf dem Drittanbieter / Verifizierungsserver aufrechterhalten, um eine authentische Anforderung zum Posten oder Bearbeiten Ihrer Site / Datenbank zu erhalten.
Die API-Zeichenfolge ist nur die URL des Logins für Ihre Site / Datenbank, um den Verifizierungsserver zu kontaktieren.