web-dev-qa-db-fra.com

Qu'est-ce qu'une clé API?

Je vois ce mot dans presque toutes les applications multiservices de nos jours.

Qu'est-ce qu'une clé API et quelles sont ses utilisations?

En outre, quelle est la différence entre les clés API publiques et privées.

101
OrangeRind

L'utilisation "exacte" d'une clé API dépend en grande partie de la personne qui la délivre et des services pour lesquels elle est utilisée. Toutefois, dans l’ensemble, une clé d’API est le nom donné à une forme de jeton secret qui est soumise en même temps que les demandes de service Web (ou similaires) afin d’identifier l’origine de la demande. La clé peut être incluse dans un résumé du contenu de la demande afin de vérifier davantage l'origine et d'éviter toute modification des valeurs.

Généralement, si vous pouvez identifier positivement la source d'une demande, cela agit comme une forme d'authentification, ce qui peut entraîner un contrôle d'accès. Par exemple, vous pouvez restreindre l'accès à certaines actions de l'API en fonction de l'auteur de la demande. Pour les entreprises qui gagnent de l'argent en vendant de tels services, c'est aussi un moyen de savoir qui l'utilise à des fins de facturation. De plus, en bloquant une clé, vous pouvez partiellement empêcher les abus en cas de volumes de demandes trop importants.

En général, si vous avez à la fois une clé API publique et privée, cela suggère alors que les clés sont elles-mêmes une paire de clés publique/privée traditionnelle utilisée sous une forme quelconque de cryptographie asymétrique , ou signature numérique associée. . Ce sont des techniques plus sécurisées pour identifier positivement la source d'une requête et, en outre, pour protéger le contenu de la requête de la surveillance (en plus de la falsification).

104
Rob

De manière très générale:

Une clé API vous identifie simplement.

S'il existe une distinction public/privé, la clé publique est une clé que vous pouvez distribuer à d'autres personnes, afin de leur permettre d'obtenir un sous-ensemble d'informations vous concernant à partir de l'API. La clé privée est réservée à votre utilisation et permet d'accéder à toutes vos données.

22
timdev

Il semble que beaucoup de gens utilisent les clés API comme solution de sécurité. L'essentiel est le suivant: Ne traitez jamais les clés d'API comme des données secrètes ce n'est pas le cas. Sur https ou non, quiconque peut lire la demande peut voir la clé API et effectuer l'appel de son choix. Une clé API doit être identique à un identifiant 'utilisateur', car elle ne constitue pas une solution de sécurité complète, même lorsqu'elle est utilisée avec ssl.

La meilleure description est dans Eugene Osovetsky lien vers: Lorsque vous travaillez avec la plupart des API, pourquoi ont-elles besoin de deux types d'authentification, à savoir une clé et un secret? Ou vérifiez http: // nordicapis .com/pourquoi-clés-api-ne-sont-pas-assez /

13
timandtheocean

Une clé API est une valeur unique attribuée à un utilisateur de ce service lorsqu'il est accepté en tant qu'utilisateur du service.

Le service gère toutes les clés émises et les vérifie à chaque demande.

En examinant la clé fournie à la demande, un service vérifie s’il s’agit d’une clé valide pour décider d’accorder ou non l’accès à un utilisateur.

9
user151323

Les clés API ne sont qu'un moyen d'authentifier les utilisateurs de services Web.

2
GG.

Pensez-y de cette façon, la "clé API publique" est similaire à un nom d'utilisateur que votre base de données utilise pour se connecter à un serveur de vérification. La "clé API privée" serait alors similaire au mot de passe. Par le site/la base de données utilisant cette méthode, la sécurité est maintenue sur le tiers/serveur de vérification afin de permettre à une demande authentique de publication ou de modification de votre site/base de données.

La chaîne de l'API est simplement l'URL de la connexion de votre site/base de données pour contacter le serveur de vérification.

1