Rahasia API-key: apa itu dan mengapa tidak boleh dibagikan sembarangan

API-KEY adalah tiket digital pribadi Anda untuk dunia antarmuka pemrograman. Saya sendiri menggunakannya terus-menerus dan memahami satu hal: Anda harus memperlakukannya seperti kunci apartemen — jika hilang, orang asing akan memasuki ruang pribadi Anda.

Apa itu API dan mengapa kita membutuhkan kunci?

Bayangkan bahwa API adalah pelayan di restoran. Anda (aplikasi) ingin hidangan (data), dan pelayan berlari antara dapur (server) dan Anda. Tanpa pelayan, Anda akan harus pergi ke dapur sendiri—dan di sana akan kacau!

Ketika saya pertama kali menggunakan API layanan cryptocurrency, saya terkejut betapa mudahnya hal itu. Dengan satu permintaan, saya bisa mendapatkan kurs, volume perdagangan, dan kapitalisasi. Namun, sistem harus tahu — ini benar-benar saya yang meminta, bukan penipu.

Dan di sini muncul API-ключ — kode unik yang memberi tahu sistem: "Ya, ini saya, izinkan saya masuk".

Anatomi Kunci API

Di beberapa platform, kunci API hanya berupa satu rangkaian karakter. Di tempat lain, ada seluruh set kunci. Saya telah bekerja dengan berbagai platform trading, dan semuanya berbeda: di satu tempat ada dua kunci ( publik dan rahasia ), di tempat lain ada tiga.

Kunci-kunci ini menjalankan dua fungsi utama:

• Autentikasi: "Apakah kamu benar-benar orang yang kamu klaim?"
• Otorisasi: "Apa yang diizinkan untuk kamu lakukan?"

Tanda tangan dan enkripsi — sihir matematika

Tanda tangan kriptografis sangat menarik. Ketika saya mengirimkan permintaan melalui API, sistem dapat meminta tanda tangan — ini seperti cap pada dokumen yang mengkonfirmasi keasliannya.

Ada dua pendekatan:

Kunci simetris: satu rahasia yang sama digunakan untuk membuat dan memverifikasi tanda tangan. Cepat, tetapi kurang dapat diandalkan jika rahasia dicuri.

Kunci Asimetris: sepasang kunci — privat ( hanya milik saya ) dan publik ( bisa ditunjukkan kepada semua orang ). Saya menandatangani dengan privat, dan siapa saja yang memiliki publik dapat memverifikasi. Suatu ketika saya secara tidak sengaja mengunggah kunci publik ke repositori — itu tidak masalah, tetapi dengan privat itu tidak diperbolehkan!

Seberapa aman kunci API?

Jujur? Tidak terlalu. Saya pernah meninggalkan kunci API dalam kode yang saya unggah ke GitHub. Setelah satu jam, saya melihat aktivitas mencurigakan — seseorang mencoba melakukan transaksi! Untungnya, saya menarik kunci itu tepat waktu.

Peretas benar-benar memburu kunci API di repositori publik. Mereka menjalankan bot yang memindai GitHub untuk mencari kunci yang secara tidak sengaja dipublikasikan.

Bagaimana saya melindungi kunci API saya

Setelah insiden itu, saya mengembangkan ritual saya sendiri:

1. Saya mengganti kunci setiap bulan. Ya, ini sedikit merepotkan dengan pengaturan skrip, tetapi keamanan lebih penting.

2. Menggunakan daftar putih alamat IP. Bahkan jika seseorang mencuri kunci, ia hanya dapat menggunakannya dari alamat yang diizinkan.

3. Saya membuat kunci yang berbeda untuk tugas yang berbeda. Satu untuk membaca data, yang lain untuk perdagangan, yang ketiga untuk penarikan dana — dengan tingkat akses yang berbeda.

4. Menyimpan kunci dalam bentuk terenkripsi, menggunakan manajer kata sandi.

5. JANGAN pernah membagikan kunci. Seorang teman saya meminta kunci "hanya untuk memeriksa sesuatu" — saya menolak dengan tegas. Ini seperti memberikan kartu bank Anda kepada seseorang dengan kode PIN.

Jika Anda tiba-tiba melihat sesuatu yang aneh - segera cabut kunci! Lebih baik berhati-hati dan kehilangan sedikit waktu daripada kehilangan semua uang Anda.

API-keys adalah paspor digital Anda. Jagalah ia seperti mata Anda sendiri, terutama jika menyangkut transaksi keuangan.