Qu'est-ce qu'une clé API ?

Question

Je vois ce mot dans presque toutes les applications de services croisés de nos jours.

Qu'est-ce qu'une clé API et à quoi sert-elle ?

Par ailleurs, quelle est la différence entre les clés d'API publiques et privées ?

Answer 1

L'utilisation "exacte" d'une clé API dépend en grande partie de la personne qui l'émet et des services pour lesquels elle est utilisée. En général, cependant, une clé API est le nom donné à une forme de jeton secret qui est soumis avec les demandes de services web (ou similaires) afin d'identifier l'origine de la demande. La clé peut être incluse dans un condensé du contenu de la demande afin de vérifier davantage l'origine et d'empêcher la falsification des valeurs.

En règle générale, si vous pouvez identifier positivement la source d'une demande, cela constitue une forme d'authentification, qui peut conduire à un contrôle d'accès. Par exemple, vous pouvez restreindre l'accès à certaines actions de l'API en fonction de l'auteur de la demande. Pour les entreprises qui gagnent de l'argent en vendant de tels services, c'est aussi un moyen de savoir qui utilise l'outil à des fins de facturation. De plus, en bloquant une clé, vous pouvez partiellement empêcher les abus en cas de volumes de demandes trop élevés.

En général, si vous disposez d'une clé d'API publique et d'une clé d'API privée, cela signifie que les clés sont elles-mêmes des paires de clés publiques/privées traditionnelles utilisées dans une certaine forme de cryptographie asymétrique ou dans un domaine connexe, la signature numérique. Il s'agit de techniques plus sûres permettant d'identifier avec certitude la source d'une demande et, en outre, de protéger le contenu de la demande contre l'espionnage (en plus de la falsification).

Answer 2

D'une manière très générale :

Une clé API vous identifie simplement.

S'il existe une distinction public/privé, la clé publique est celle que vous pouvez distribuer à d'autres personnes pour leur permettre d'obtenir un sous-ensemble d'informations vous concernant à partir de l'interface utilisateur. La clé privée est réservée à votre usage exclusif et permet d'accéder à toutes vos données.

Answer 3

Il semble que de nombreuses personnes utilisent les clés API comme solution de sécurité. L'essentiel est là : Ne jamais traiter les clés d'API comme des secrets ce n'est pas le cas. Sur https ou non, quiconque peut lire la demande peut voir la clé API et peut effectuer l'appel qu'il souhaite. Une clé API doit être considérée comme un simple identifiant d'utilisateur, car elle ne constitue pas une solution de sécurité complète, même lorsqu'elle est utilisée avec SSL.

La meilleure description se trouve dans le lien d'Eugene Osovetsky : Lorsque l'on travaille avec la plupart des API, pourquoi exigent-elles deux types d'authentification, à savoir une clé et un secret ? Ou vérifier http://nordicapis.com/why-api-keys-are-not-enough/

Answer 4

Une clé API est une valeur unique qui est attribuée à un utilisateur de ce service lorsqu'il est accepté en tant qu'utilisateur du service.

Le service conserve toutes les clés émises et les vérifie à chaque demande.

En examinant la clé fournie lors de la demande, un service vérifie s'il s'agit d'une clé valide pour décider d'accorder ou non l'accès à un utilisateur.

Answer 5

Les clés API ne sont qu'un moyen d'authentifier les utilisateurs de services web.