Spacemesh-浏览器

什么是 API 密钥以及如何安全地使用它?

102次阅读
没有评论

目前不清退的交易所推荐:

1、全球第二大交易所OKX欧意

国区邀请链接: https://www.youshipintip.com/zh-hans/join/1837888   币种多,交易量大!

国际邀请链接:https://www.okx.com/join/1837888 注册简单,币种多,交易量大!操作简单安全!

2、全球最大交易所币安

国区邀请链接:https://accounts.suitechsui.cloud/zh-CN/register?ref=16003031 支持86手机号码,直接注册。

国际邀请链接https://accounts.binance.com/zh-CN/register?ref=16003031开放注册了,国人实测能用!

3、老牌交易所比特儿现改名叫芝麻开门 :https://www.gateex.cc/signup/XgRDAQ8?ref_type=103  注册成功之后务必在网页端完成 手机号码绑定,推荐在APP端实名认证初级+高级更方便上传。网页端也可以实名认证。

4、火必所有用户现在可用了,但是要重新注册账号火币地址https://www.huobi.com

API 与 API 密钥

要了解什么是 API 密钥,您必须首先了解什么是 API。应用程序编程接口或 API 是一种软件中介,允许两个或多个应用程序共享信息。例如,CoinMarketCap 的 API 允许其他应用程序检索和使用加密数据,例如价格、交易量和市值。

API 密钥有许多不同的形式——它可以是单个密钥或一组多个密钥。不同的系统使用这些密钥来验证和授权应用程序,类似于用户名和密码的使用方式。API 客户端使用 API 密钥来验证调用 API 的应用程序。 

例如,如果币安学院想要使用 CoinMarketCap API,CoinMarketCap 将生成一个 API 密钥,用于验证请求 API 访问的币安学院(API 客户端)的身份。当币安学院访问 CoinMarketCap 的 API 时,应将此 API 密钥连同请求一起发送给 CoinMarketCap。 

此 API 密钥只能由币安学院使用,不得与他人共享或发送给他人。共享此 API 密钥将允许第三方以币安学院的身份访问 CoinMarketCap,并且第三方的任何操作都将显示为来自币安学院。

CoinMarketCap API 也可以使用 API 密钥来确认应用程序是否有权访问所请求的资源。此外,API 所有者使用 API 密钥来监控 API 活动,例如请求的类型、流量和数量。 

什么是 API 密钥? 

API 密钥用于控制和跟踪谁在使用 API 以及他们如何使用它。术语“API 密钥”对于不同的系统可能有不同的含义。有些系统只有一个代码,但其他系统可以有多个代码用于单个“API 密钥”。   

因此,“API 密钥”是 API 用于对调用用户或应用程序进行身份验证和授权的唯一代码或一组唯一代码。有些代码用于身份验证,有些代码用于创建加密签名以证明请求的合法性。 

这些身份验证代码通常统称为“API 密钥”,而用于加密签名的代码有各种名称,例如“秘密密钥”、“公钥”或“私钥”。身份验证需要识别所涉及的实体并确认他们是他们所说的人。

另一方面,授权指定允许访问的 API 服务。API密钥的作用类似于账户用户名和密码;它还可以连接到其他安全功能以提高整体安全性。 

每个 API 密钥通常由 API 所有者为特定实体生成(下面有更多详细信息),并且每次调用 API 端点时(需要用户身份验证或授权,或两者)都会使用相关密钥。

加密签名

一些 API 密钥使用加密签名作为额外的验证层。当用户想要向 API 发送某些数据时,可以将另一个密钥生成的数字签名添加到请求中。使用密码学,API 所有者可以验证此数字签名是否与发送的数据匹配。

对称和非对称签名 

通过 API 共享的数据可以通过加密密钥进行签名,这些密钥属于以下类别:

对称密钥

这些涉及使用一个密钥来执行数据签名和签名验证。对于对称密钥,API 密钥和密钥通常由 API 所有者生成,API 服务必须使用相同的密钥进行签名验证。使用单一密钥的主要优点是这样做速度更快,并且需要更少的计算能力来生成和验证签名。对称密钥的一个很好的例子是 HMAC。

非对称密钥

这些涉及使用两个密钥:一个私钥和一个公钥,它们是不同的但在密码学上是相关联的。私钥用于签名生成,公钥用于签名验证。API 密钥由 API 所有者生成,但私钥和公钥对由用户生成。API所有者只需要使用公钥进行签名验证,私钥就可以保持本地保密。 

使用非对称密钥的主要优点是将签名生成和验证密钥分开,安全性更高。这允许外部系统在无法生成签名的情况下验证签名。另一个优点是一些非对称加密系统支持为私钥添加密码。一个很好的例子是 RSA 密钥对。 

API 密钥安全吗? 

API 密钥由用户负责。API 密钥类似于密码,需要同样小心对待。共享 API 密钥类似于共享密码,因此不应这样做,因为这样做会使用户的帐户面临风险。 

API 密钥通常成为网络攻击的目标,因为它们可用于在系统上执行强大的操作,例如请求个人信息或执行金融交易。事实上,已经有爬虫成功攻击在线代码数据库窃取API密钥的案例。

API 密钥被盗的后果可能很严重,并导致重大的经济损失。此外,由于一些 API 密钥不会过期,一旦被盗,攻击者可以无限期地使用它们,直到密钥本身被撤销。

使用 API 密钥的最佳实践

由于他们可以访问敏感数据并普遍存在漏洞,因此安全地使用 API 密钥至关重要。在使用 API 密钥提高整体安全性时,您可以遵循这些最佳实践教程: 

  1. 如果可能,经常轮换您的 API 密钥。这意味着您应该删除当前的 API 密钥并创建一个新的。对于多个系统,很容易生成和删除 API 密钥。与某些系统要求您每 30 到 90 天更改一次密码的方式类似,如果可能,您应该以类似的频率轮换您的 API 密钥。

  2. 使用 IP 白名单:当您创建 API 密钥时,制定一个授权使用该密钥的 IP 列表(IP 白名单)。您还可以指定阻止的 IP 列表(IP 黑名单)。这样即使你的API key被盗了,仍然无法被无法识别的IP访问。

  3. 使用多个 API 密钥:拥有多个密钥并在它们之间分担责任将降低安全风险,因为您的安全性不会取决于具有广泛权限的单个密钥。您还可以为每个密钥设置不同的 IP 白名单,进一步降低您的安全风险。 

  4. 安全地存储 API 密钥:不要将您的密钥存储在公共场所、公共计算机上或以原始纯文本格式存储。相反,为了更好的安全性,使用加密或秘密管理器存储每个,并注意不要意外暴露它们。 

  5. 不要共享您的 API 密钥。共享您的 API 密钥类似于共享您的密码。在这样做时,您授予另一方与您相同的身份验证和授权特权。如果它们遭到破坏,您的 API 密钥可能会被盗并用于入侵您的帐户。API 密钥只能在您和生成它的系统之间使用。

如果您的 API 密钥被泄露,您需要先禁用它以防止进一步损坏。如有经济损失,请将事件相关关键信息截图,联系相关单位,并报案。这是增加您收回任何损失资金的机会的最佳方式。

目前不清退的交易所推荐:

1、全球第二大交易所OKX欧意

国区邀请链接: https://www.youshipintip.com/zh-hans/join/1837888   币种多,交易量大!

国际邀请链接:https://www.okx.com/join/1837888 注册简单,币种多,交易量大!操作简单安全!

2、全球最大交易所币安

国区邀请链接:https://accounts.suitechsui.cloud/zh-CN/register?ref=16003031 支持86手机号码,直接注册。

国际邀请链接https://accounts.binance.com/zh-CN/register?ref=16003031开放注册了,国人实测能用!

3、老牌交易所比特儿现改名叫芝麻开门 :https://www.gateex.cc/signup/XgRDAQ8?ref_type=103  注册成功之后务必在网页端完成 手机号码绑定,推荐在APP端实名认证初级+高级更方便上传。网页端也可以实名认证。

4、火必所有用户现在可用了,但是要重新注册账号火币地址https://www.huobi.com

正文完
 
pexpay
版权声明:本站原创文章,由 pexpay 2023-01-27发表,共计3317字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
评论(没有评论)
关于我们

在Pexpay您可以安全便捷,0 手续费买卖数字货币。

版权说明

全球最安全的C2C交易平台

Copyright ©50多种支付方式我们的宗旨是为全球各地的用户提供点对点交易数字货币的服务。
 Theme by Puock