API密鑰：它們是什麼以及如何在不被黑客攻擊的情況下使用它們

大家好！今天我想談談一個讓我頭疼很久的事情，直到我真正理解它：API 密鑰。對於不知道的人來說，API 密鑰基本上是一個唯一的代碼，用於在您嘗試訪問在線服務時識別您或您的應用程序。

這就像一個特殊的密碼，但有一個大問題：如果落入錯誤的人手中，你就完蛋了！相信我，我見過很多朋友因爲對這些密鑰的粗心而失去錢。

API 與 API 密鑰：理解差異

在一切之前，API 本身只是一個中介，允許不同的應用程序進行通信。就像當一個加密貨幣價格應用程序獲取更新的價值數據時。

已經，API密鑰是證明您有權訪問這些數據的代碼。它可以是一個單獨的字符序列或一組字符。大問題是，很多人對待這些密鑰的方式不如對待他們的普通密碼那麼謹慎，這真是瘋狂！

例如，如果我想使用某個市場數據平台的應用程式接口，它會給我一個API密鑰。當我使用這個密鑰時，平台會知道是我在訪問，並可以控制我能看到和做什麼。

這裏是我的第一個抱怨：絕不要分享這個密鑰！我見過有人發布截圖，上面顯示了密鑰……這簡直就像把你的銀行卡和密碼寫給一個陌生人！

加密籤名：額外安全性

某些 API 使用加密籤名作爲額外的安全層。有兩種主要類型：

對稱密鑰

使用相同的密鑰來籤名和驗證數據。在我看來，它更快，但安全性較低。一個例子是HMAC。

非對稱鑰匙

它們使用兩個不同的密鑰：一個(que只有 você) 的私有密鑰和一個公共密鑰。優點是，即使有人看到了您的公鑰，他們也無法執行需要私鑰的作。這就像 RSA 系統。

我個人更喜歡非對稱的。我曾經在一個我參與的項目被破壞時遇到過對稱密鑰的問題。

API密鑰的真實危險

我會誠實地說：API 密鑰是黑客的常見目標。我看到過一些人因爲他們的密鑰被盜而失去了所有的加密貨幣。最可怕的是，有些密鑰不會自動過期——所以如果你沒有意識到被盜，攻擊者可以長時間繼續使用！

事後哭泣是沒有意義的。如果您的硬幣被轉移，您幾乎永遠無法恢復。

我如何保護我的應用程式接口密鑰

(sim一次幾乎失去我的投資後，這發生在我身上！)，我開始遵循一些嚴格的規則：

1. 我定期更換我的密鑰 - 至少每30天一次。這很麻煩嗎？是的。但失去金錢要糟糕得多。

2. 我總是設置 IP 限制 - 我只允許我自己的 IP 地址使用我的密鑰。因此，即使有人竊取了代碼，他們也無法從另一臺計算機使用它。

3. 我創建多個具有特定權限的密鑰 - 從不使用單一的 "主" 密鑰來處理所有事務。一個密鑰僅用於讀取數據，另一個僅用於一些特定操作。

4. 我使用安全的密碼管理器來保存密鑰 - 永遠不要將其保存在純文本文件或公共雲中。

5. 我從不分享我的密鑰 - 不與朋友、合作夥伴或我不熟悉的第三方應用程序分享。

如果您的密鑰被盜用，請立即禁用它！每一秒都很重要。然後截取所有內容以獲取證據，以防您需要展開警方調查(que很少解決，但這necessário)。

最後，API密鑰就像房子的鑰匙 - 強大而危險。請小心使用，始終保持警惕！加密世界不會寬恕疏忽。