API-密钥的秘密：它是什么，为什么不能随便分发

API-密钥是您进入软件接口世界的个人数字通行证。我自己一直在使用它们，并且明白了一件事：对待它们的态度应该像对待公寓的钥匙一样——一旦丢失，陌生人就会闯入您的空间。

什么是应用程序接口以及我们为什么需要密钥？

想象一下，应用程序接口（API）就像餐厅里的服务员。您(想要的菜肴)是(数据)，而服务员在厨房(和您之间跑来跑去。没有服务员，您就得自己去厨房——那里可是一片混乱！

当我第一次使用加密货币服务的应用程序接口时，我惊讶于它是多么方便。通过一个请求，可以获取汇率、交易量和市值。但是系统必须知道——确实是我在请求，而不是某个骗子。

I这里出现了应用程序接口密钥——一个独特的代码，它告诉系统："是的，是我，请放我通过"。

API-接口的结构

在某些平台上，API-密钥只是一个字符串。在其他平台上，则是一整套密钥。我与不同的交易平台合作过，每个平台都有所不同：有的地方有两个密钥)公共和私密(，有的地方甚至有三个。

这些密钥执行两个主要功能:

• 认证："你真的是你所自称的那个人吗？"
• 授权: "你被允许做什么?"

签名与加密 — 数学魔法

特别有趣的是加密签名。当我通过应用程序接口发送请求时，系统可能会要求签名——这就像文件上的印章，证明其真实性。

存在两种方法：

对称密钥：使用相同的秘密来创建和验证签名。速度快，但如果秘密被盗，则安全性较低。

非对称密钥：一对密钥——私钥)只有我有(和公钥)可以给大家展示(。我用私钥签名，而任何拥有公钥的人都可以验证。当我不小心把公钥上传到仓库时——这没问题，但私钥就绝对不可以！

API-密钥安全性如何？

诚实吗？不太。 我曾经在上传到GitHub的代码中留下了API密钥。 一个小时后，我注意到可疑活动——有人试图进行交易！ 幸运的是，我及时撤回了密钥。

黑客们实际上在公共仓库中猎取API密钥。他们启动机器人，扫描GitHub以寻找意外发布的密钥。

我如何保护我的应用程序接口密钥

在那次事件之后，我形成了自己的仪式：

1. 我每个月更换密钥。是的，设置脚本有点麻烦，但安全性更重要。

2. 使用IP地址白名单。即使有人窃取了密钥，他也只能在允许的地址上使用它。

3. 创建不同的密钥用于不同的任务。一个用于读取数据，另一个用于交易，第三个用于提现——具有不同的访问级别。

4. 我将密钥以加密形式存储，使用密码管理器。

5. 永远不要分享密钥。我的一个朋友问我要密钥 "只是想检查一下什么" — 我坚决拒绝。这就像把自己的银行卡和密码给别人一样。

如果您突然发现有什么奇怪的事情——请立即关闭钥匙！宁可多花一点时间，也不要失去所有的钱。

API密钥是您的数字护照。请像珍视眼睛一样珍惜它，尤其是在进行金融操作时。