Я вижу это слово почти в каждом приложении перекрестного сервиса в наши дни.
Что такое ключ API и какие его использует?
Кроме того, в чем разница между общедоступными и частными ключами API.
То, что используется "точно" для ключа API, очень зависит от того, кто его выдает, и от каких служб он используется. Однако, в общем, ключ API - это имя, присвоенное той или иной форме секретного токена, которое передается вместе с запросами веб-службы (или подобных) для идентификации происхождения запроса. Ключ может быть включен в некоторый дайджест содержимого запроса, чтобы дополнительно проверить происхождение и предотвратить подделку значений.
Как правило, если вы можете положительно идентифицировать источник запроса, он действует как форма проверки подлинности, что может привести к контролю доступа. Например, вы можете ограничить доступ к определенным действиям API на основании того, кто выполняет запрос. Для компаний, которые зарабатывают деньги от продажи таких услуг, это также способ отслеживания того, кто использует эту вещь для выставления счетов. Кроме того, блокируя ключ, вы можете частично предотвратить злоупотребление в случае слишком высоких объемов запросов.
В общем случае, если у вас есть открытый и закрытый ключ API, тогда он предполагает, что ключи сами являются традиционной парной открытого/закрытого ключа, используемой в той или иной форме асимметричная криптография или связанное цифровое подписание. Это более безопасные методы для позитивной идентификации источника запроса и, кроме того, для защиты содержимого запроса от отслеживания (в дополнение к подделке).
В общем говоря:
Ключ API просто идентифицирует вас.
Если существует различие между общедоступными/частными, то открытый ключ - это тот, который вы можете распространять среди других, чтобы они могли получить некоторые подмножества информации о вас из api. Закрытый ключ предназначен только для вашего использования и обеспечивает доступ ко всем вашим данным.
Ключ API - это уникальное значение, которое присваивается пользователю этой услуги, когда он принимал его как пользователя службы.
Служба поддерживает все выданные ключи и проверяет их при каждом запросе.
Посмотрев на предоставленный ключ по запросу, служба проверяет, является ли он действительным ключом, чтобы решить, предоставлять ли доступ пользователю или нет.
Ключи API - это всего лишь один из способов аутентификации пользователей веб-сервисов.
Похоже, что многие люди используют ключи API в качестве решения для обеспечения безопасности. В нижней строке: Никогда не обрабатывать ключи API как секретные, это не так. На https или нет, тот, кто может прочитать запрос, может увидеть ключ API и может сделать любой вызов, который они хотят. Ключ API должен быть как идентификатор пользователя, так как он не является полным решением безопасности даже при использовании с ssl.
Лучшее описание в ссылке Евгения Осовецкого: При работе с большинством API-интерфейсов, почему им требуются два типа аутентификации, а именно ключ и секрет? Или отметьте http://nordicapis.com/why-api-keys-are-not-enough/
Подумайте об этом так: "Открытый API-ключ" похож на имя пользователя, которое ваша база данных использует в качестве входа на сервер проверки. Тогда "Частный API-ключ" будет похож на пароль. С помощью этого метода на сайте /databse безопасность поддерживается на сервере третьей стороны/верификации, чтобы аутентифицировать запрос на публикацию или редактирование вашего сайта/базы данных.
Строка API - это только URL-адрес входа для вашего сайта/базы данных, чтобы связаться с сервером проверки.