Veo esta palabra en casi todas las aplicaciones de servicios cruzados en estos días.
¿Qué es exactamente una clave API y cuáles son sus usos?
Además, ¿cuál es la diferencia entre las claves API públicas y privadas?
fuente
Veo esta palabra en casi todas las aplicaciones de servicios cruzados en estos días.
¿Qué es exactamente una clave API y cuáles son sus usos?
Además, ¿cuál es la diferencia entre las claves API públicas y privadas?
Para qué se utiliza "exactamente" una clave API depende en gran medida de quién la emite y para qué servicios se utiliza. Sin embargo, en general, una clave de API es el nombre que se le da a algún tipo de token secreto que se envía junto con las solicitudes del servicio web (o similares) para identificar el origen de la solicitud. La clave puede incluirse en algún resumen del contenido de la solicitud para verificar aún más el origen y evitar la alteración de los valores.
Normalmente, si puede identificar el origen de una solicitud de manera positiva, actúa como una forma de autenticación, lo que puede conducir al control de acceso. Por ejemplo, puede restringir el acceso a determinadas acciones de la API en función de quién realiza la solicitud. Para las empresas que ganan dinero con la venta de dichos servicios, también es una forma de rastrear quién está usando la cosa con fines de facturación. Además, al bloquear una clave, puede evitar parcialmente el abuso en el caso de volúmenes de solicitud demasiado altos.
En general, si tiene una clave API tanto pública como privada, entonces sugiere que las claves son en sí mismas un par de claves públicas / privadas tradicionales que se utilizan en alguna forma de criptografía asimétrica o firma digital relacionada. Estas son técnicas más seguras para identificar positivamente el origen de una solicitud y, además, para proteger el contenido de la solicitud de espionaje (además de manipulación).
Hablando de manera muy general:
Una clave API simplemente te identifica.
Si hay una distinción pública / privada, entonces la clave pública es una que puede distribuir a otros, para permitirles obtener algún subconjunto de información sobre usted de la API. La clave privada es solo para su uso y proporciona acceso a todos sus datos.
fuente
Parece que mucha gente usa claves API como solución de seguridad. La conclusión es: nunca trate las claves API como secretas que no lo son. En https o no, quien pueda leer la solicitud puede ver la clave API y puede realizar cualquier llamada que desee. Una clave de API debe ser solo un identificador de 'usuario', ya que no es una solución de seguridad completa, incluso cuando se usa con ssl.
La mejor descripción está en el enlace de Eugene Osovetsky a: Cuando se trabaja con la mayoría de las API, ¿por qué requieren dos tipos de autenticación, a saber, una clave y un secreto? O consulte http://nordicapis.com/why-api-keys-are-not-enough/
fuente
Una clave de API es un valor único que se asigna a un usuario de este servicio cuando es aceptado como usuario del servicio.
El servicio mantiene todas las claves emitidas y las comprueba en cada solicitud.
Al observar la clave proporcionada en la solicitud, un servicio verifica si es una clave válida para decidir si conceder acceso a un usuario o no.
fuente
Las claves de API son solo una forma de autenticar a los usuarios de los servicios web.
fuente
Piénselo de esta manera, la "Clave API pública" es similar a un nombre de usuario que su base de datos está usando como inicio de sesión en un servidor de verificación. La "Clave de API privada" sería similar a la contraseña. Mediante el sitio / base de datos que utiliza este método, la seguridad se mantiene en el servidor de terceros / de verificación para la solicitud auténtica de publicación o edición de su sitio / base de datos.
La cadena de API es solo la URL del inicio de sesión para que su sitio / base de datos se comunique con el servidor de verificación.
fuente