Je vois ce mot dans presque toutes les applications de services croisés ces jours-ci.
Qu'est-ce qu'une clé API et quelles sont ses utilisations?
En outre, quelle est la différence entre les clés API publiques et privées.
Je vois ce mot dans presque toutes les applications de services croisés ces jours-ci.
Qu'est-ce qu'une clé API et quelles sont ses utilisations?
En outre, quelle est la différence entre les clés API publiques et privées.
Réponses:
À quoi sert «exactement» une clé API dépend beaucoup de la personne qui la délivre et des services pour lesquels elle est utilisée. Dans l'ensemble, cependant, une clé API est le nom donné à une forme de jeton secret qui est soumis parallèlement aux demandes de service Web (ou similaires) afin d'identifier l'origine de la demande. La clé peut être incluse dans un condensé du contenu de la demande pour vérifier davantage l'origine et pour empêcher la falsification des valeurs.
En règle générale, si vous pouvez identifier la source d'une demande de manière positive, cela agit comme une forme d'authentification, ce qui peut conduire à un contrôle d'accès. Par exemple, vous pouvez restreindre l'accès à certaines actions d'API en fonction de la personne qui exécute la demande. Pour les entreprises qui gagnent de l'argent en vendant de tels services, c'est aussi un moyen de savoir qui utilise la chose à des fins de facturation. De plus, en bloquant une clé, vous pouvez en partie éviter les abus en cas de volumes de requêtes trop élevés.
En général, si vous disposez à la fois d'une clé API publique et privée, cela suggère que les clés sont elles-mêmes une paire de clés publique / privée traditionnelle utilisée dans une forme de cryptographie asymétrique ou de signature numérique associée. Il s'agit de techniques plus sûres pour identifier positivement la source d'une demande et, en outre, pour protéger le contenu de la demande contre le snooping (en plus de la falsification).
De manière très générale:
Une clé API vous identifie simplement.
S'il y a une distinction public / privé, alors la clé publique est celle que vous pouvez distribuer à d'autres, pour leur permettre d'obtenir un sous-ensemble d'informations sur vous à partir de l'API. La clé privée est uniquement à votre usage et vous donne accès à toutes vos données.
Il semble que de nombreuses personnes utilisent les clés API comme solution de sécurité. En bout de ligne, ne traitez jamais les clés API comme secrètes, ce n'est pas le cas. Sur https ou non, quiconque peut lire la requête peut voir la clé API et peut passer l'appel de son choix. Une clé API doit être simplement un identifiant «utilisateur» car ce n'est pas une solution de sécurité complète même lorsqu'elle est utilisée avec ssl.
La meilleure description se trouve dans le lien Eugene Osovetsky vers: Lorsque vous travaillez avec la plupart des API, pourquoi nécessitent-elles deux types d'authentification, à savoir une clé et un secret? Ou consultez http://nordicapis.com/why-api-keys-are-not-enough/
Une clé API est une valeur unique attribuée à un utilisateur de ce service lorsqu'il est accepté en tant qu'utilisateur du service.
Le service conserve toutes les clés émises et les vérifie à chaque demande.
En examinant la clé fournie lors de la demande, un service vérifie s'il s'agit d'une clé valide pour décider d'accorder ou non l'accès à un utilisateur.
Pensez-y de cette façon, la «clé API publique» est similaire à un nom d'utilisateur que votre base de données utilise comme connexion à un serveur de vérification. La "clé API privée" serait alors similaire au mot de passe. Par le site / base de données utilisant cette méthode, la sécurité est maintenue sur le serveur tiers / de vérification afin d'authentifier la demande de publication ou d'édition de votre site / base de données.
La chaîne API est simplement l'URL de la connexion pour votre site / base de données pour contacter le serveur de vérification.