API密钥：它们是什么以及如何在不被黑客攻击的情况下使用它们

大家好！今天我想谈谈一个让我头疼很久的事情，直到我真正理解它：API 密钥。对于不知道的人来说，API 密钥基本上是一个唯一的代码，用于在您尝试访问在线服务时识别您或您的应用程序。

这就像一个特殊的密码，但有一个大问题：如果落入错误的人手中，你就完蛋了！相信我，我见过很多朋友因为对这些密钥的粗心而失去钱。

API 与 API 密钥：理解差异

在一切之前，API 本身只是一个中介，允许不同的应用程序进行通信。就像当一个加密货币价格应用程序获取更新的价值数据时。

已经，API密钥是证明您有权访问这些数据的代码。它可以是一个单独的字符序列或一组字符。大问题是，很多人对待这些密钥的方式不如对待他们的普通密码那么谨慎，这真是疯狂！

例如，如果我想使用某个市场数据平台的应用程序接口，它会给我一个API密钥。当我使用这个密钥时，平台会知道是我在访问，并可以控制我能看到和做什么。

这里是我的第一个抱怨：绝不要分享这个密钥！我见过有人发布截图，上面显示了密钥……这简直就像把你的银行卡和密码写给一个陌生人！

加密签名：额外安全性

某些 API 使用加密签名作为额外的安全层。有两种主要类型：

对称密钥

使用相同的密钥来签名和验证数据。在我看来，它更快，但安全性较低。一个例子是HMAC。

非对称钥匙

它们使用两个不同的密钥：一个(que只有 você) 的私有密钥和一个公共密钥。优点是，即使有人看到了您的公钥，他们也无法执行需要私钥的作。这就像 RSA 系统。

我个人更喜欢非对称的。我曾经在一个我参与的项目被破坏时遇到过对称密钥的问题。

API密钥的真实危险

我会诚实地说：API 密钥是黑客的常见目标。我看到过一些人因为他们的密钥被盗而失去了所有的加密货币。最可怕的是，有些密钥不会自动过期——所以如果你没有意识到被盗，攻击者可以长时间继续使用！

事后哭泣是没有意义的。如果您的硬币被转移，您几乎永远无法恢复。

我如何保护我的应用程序接口密钥

(sim一次几乎失去我的投资后，这发生在我身上！)，我开始遵循一些严格的规则：

1. 我定期更换我的密钥 - 至少每30天一次。这很麻烦吗？是的。但失去金钱要糟糕得多。

2. 我总是设置 IP 限制 - 我只允许我自己的 IP 地址使用我的密钥。因此，即使有人窃取了代码，他们也无法从另一台计算机使用它。

3. 我创建多个具有特定权限的密钥 - 从不使用单一的 "主" 密钥来处理所有事务。一个密钥仅用于读取数据，另一个仅用于一些特定操作。

4. 我使用安全的密码管理器来保存密钥 - 永远不要将其保存在纯文本文件或公共云中。

5. 我从不分享我的密钥 - 不与朋友、合作伙伴或我不熟悉的第三方应用程序分享。

如果您的密钥被盗用，请立即禁用它！每一秒都很重要。然后截取所有内容以获取证据，以防您需要展开警方调查(que很少解决，但这necessário)。

最后，API密钥就像房子的钥匙 - 强大而危险。请小心使用，始终保持警惕！加密世界不会宽恕疏忽。