Segredos das chaves API: o que são e por que não devem ser distribuídas a torto e a direito

A chave API é o seu passe digital pessoal para o mundo das interfaces de programação. Eu mesmo uso-as constantemente e percebi uma coisa: deve-se tratá-las como chaves de apartamento — se as perder, pessoas estranhas entrarão no seu espaço.

O que é API e para que precisamos de chaves?

Imagine que o API é um garçom em um restaurante. Você (aplicativo) quer um prato (dados), e o garçom corre entre a cozinha (servidor) e você. Sem o garçom, você teria que ir à cozinha sozinho — e lá seria um caos!

Quando usei pela primeira vez a API dos serviços de criptomoedas, fiquei impressionado com quão conveniente é. Com uma única solicitação, é possível obter taxas, volumes de negociação e capitalização. Mas o sistema deve saber — sou eu que estou fazendo o pedido, e não algum fraudador.

E aqui aparece a chave API — um código único que diz ao sistema: "Sim, sou eu, deixe-me passar".

Anatomia da chave API

Em algumas plataformas, a chave API é apenas uma sequência de caracteres. Em outras, é um conjunto inteiro de chaves. Eu trabalhei com diferentes plataformas de negociação, e em todo lugar é diferente: em alguns lugares, há duas chaves (pública e secreta), em outros, há três.

Estas chaves desempenham duas funções principais:

• Autenticação: "Você realmente é quem diz ser?"
• Autorização: "O que te é permitido fazer?"

Assinaturas e criptografia — magia matemática

Particularmente interessantes são as assinaturas criptográficas. Quando envio um pedido através da API, o sistema pode exigir uma assinatura — é como um selo em um documento, confirmando sua autenticidade.

Existem duas abordagens:

Chaves simétricas: o mesmo segredo é usado para criar e verificar a assinatura. Rápido, mas menos confiável se o segredo for roubado.

Chaves assimétricas: um par de chaves — privada (só para mim) e pública (pode ser mostrada a todos). Eu assino com a privada, e qualquer um que tenha a pública pode verificar. Uma vez, acidentalmente publiquei a chave pública no repositório — isso foi normal, mas com a privada isso é inaceitável!

Quão seguros são as chaves API?

Honestamente? Não muito. Uma vez deixei a chave API no código que carreguei no GitHub. Uma hora depois, notei uma atividade suspeita — alguém estava tentando realizar transações! Felizmente, revoguei a chave a tempo.

Os hackers estão literalmente à caça de chaves API em repositórios públicos. Eles executam bots que escaneiam o GitHub em busca de chaves publicadas acidentalmente.

Como eu protejo minhas chaves API

Após aquele incidente, eu desenvolvi meu ritual:

1. Mudo as chaves todos os meses. Sim, é um pouco complicado configurar os scripts, mas a segurança é mais importante.

2. Uso uma lista branca de endereços IP. Mesmo que alguém roube a chave, só poderá usá-la a partir de endereços permitidos.

3. Crio diferentes chaves para diferentes tarefas. Uma para leitura de dados, outra para comércio, a terceira para retirada de fundos — com diferentes níveis de acesso.

4. Armazeno as chaves de forma encriptada, utilizando um gestor de palavras-passe.

5. NUNCA partilho as chaves. Um conhecido meu pediu a chave "só para verificar algo" — eu recusei categoricamente. É como dar a alguém o seu cartão bancário com o código PIN.

Se por acaso notar algo estranho — desconecte as chaves imediatamente! É melhor prevenir e perder um pouco de tempo do que perder todo o seu dinheiro.

As chaves API são o seu passaporte digital. Cuide delas como a menina dos seus olhos, especialmente quando se trata de operações financeiras.