TL;DR

Khóa giao diện lập trình ứng dụng (API) là một mã duy nhất được API sử dụng để xác định ứng dụng hoặc người dùng đang gọi. Khóa API được sử dụng để theo dõi và kiểm soát ai đang sử dụng API và cách họ sử dụng API đó, cũng như để xác thực và ủy quyền cho các ứng dụng - tương tự như cách hoạt động của tên người dùng và mật khẩu. Khóa API có thể ở dạng một khóa hoặc một bộ nhiều khóa. Người dùng nên làm theo các phương pháp hay nhất để cải thiện khả năng bảo mật tổng thể trước hành vi trộm cắp khóa API và tránh các hậu quả liên quan do khóa API của họ bị xâm phạm.

API so với khóa API

Để hiểu khóa API là gì, trước tiên bạn phải hiểu API là gì. Giao diện lập trình ứng dụng hoặc API là phần mềm trung gian cho phép hai hoặc nhiều ứng dụng chia sẻ thông tin. Ví dụ: API của CoinMarketCap cho phép các ứng dụng khác truy xuất và sử dụng dữ liệu tiền điện tử, chẳng hạn như giá, khối lượng và vốn hóa thị trường.

Khóa API có nhiều dạng khác nhau - có thể là một khóa duy nhất hoặc một bộ nhiều khóa. Các hệ thống khác nhau sử dụng các khóa này để xác thực và cấp phép cho một ứng dụng, tương tự như cách sử dụng tên người dùng và mật khẩu. Khóa API được ứng dụng khách API sử dụng để xác thực ứng dụng gọi API.

Ví dụ: nếu Binance Academy muốn sử dụng API CoinMarketCap, khóa API sẽ được CoinMarketCap tạo và sử dụng để xác thực danh tính của Binance Academy (ứng dụng khách API), đang yêu cầu quyền truy cập API. Khi Binance Academy truy cập API của CoinMarketCap, khóa API này sẽ được gửi tới CoinMarketCap cùng với yêu cầu.

Khóa API này chỉ được sử dụng bởi Binance Academy và không được chia sẻ hoặc gửi cho người khác. Việc chia sẻ khóa API này sẽ cho phép bên thứ ba truy cập CoinMarketCap với tư cách là Binance Academy và mọi hành động của bên thứ ba sẽ xuất hiện như thể chúng đến từ Binance Academy.

Khóa API cũng có thể được API CoinMarketCap sử dụng để xác nhận xem ứng dụng có được phép truy cập vào tài nguyên được yêu cầu hay không. Ngoài ra, chủ sở hữu API sử dụng khóa API để giám sát hoạt động API, chẳng hạn như loại, lưu lượng truy cập và khối lượng yêu cầu.

Khóa API là gì?

Khóa API được sử dụng để kiểm soát và theo dõi ai đang sử dụng API và cách họ sử dụng API đó. Thuật ngữ “Khóa API” có thể có nghĩa khác nhau đối với các hệ thống khác nhau. Một số hệ thống có một mã duy nhất nhưng những hệ thống khác có thể có nhiều mã cho một “khóa API” duy nhất.

Như vậy, “Khóa API” là một mã duy nhất hoặc một bộ mã duy nhất được API sử dụng để xác thực và ủy quyền cho người dùng hoặc ứng dụng gọi điện. Một số mã được sử dụng để xác thực và một số mã được sử dụng để tạo chữ ký mật mã nhằm chứng minh tính hợp pháp của yêu cầu.

Các mã xác thực này thường được gọi chung là “khóa API”, trong khi các mã được sử dụng cho chữ ký mật mã có nhiều tên khác nhau, chẳng hạn như “khóa bí mật”, “khóa chung” hoặc “khóa riêng”. Xác thực đòi hỏi phải xác định các thực thể có liên quan và xác nhận họ đúng như những gì họ nói.

Mặt khác, ủy quyền chỉ định các dịch vụ API được phép truy cập. Chức năng của khóa API tương tự như tên người dùng và mật khẩu tài khoản; nó cũng có thể được kết nối với các tính năng bảo mật khác để cải thiện bảo mật tổng thể.

Mỗi khóa API thường được chủ sở hữu API tạo cho một thực thể cụ thể (xem thêm chi tiết bên dưới) và mỗi lần thực hiện lệnh gọi đến điểm cuối API — yêu cầu xác thực hoặc ủy quyền của người dùng hoặc cả hai — khóa liên quan sẽ được sử dụng.

Chữ ký mật mã

Một số khóa API sử dụng chữ ký mật mã làm lớp xác minh bổ sung. Khi người dùng muốn gửi một số dữ liệu nhất định tới API, chữ ký số được tạo bởi một khóa khác có thể được thêm vào yêu cầu. Bằng cách sử dụng mật mã, chủ sở hữu API có thể xác minh rằng chữ ký số này khớp với dữ liệu được gửi.

Chữ ký đối xứng và bất đối xứng

Dữ liệu được chia sẻ thông qua API có thể được ký bằng khóa mật mã, thuộc các danh mục sau:

Phím đối xứng

Chúng liên quan đến việc sử dụng một khóa bí mật để thực hiện cả việc ký dữ liệu và xác minh chữ ký. Với khóa đối xứng, khóa API và khóa bí mật thường do chủ sở hữu API tạo và dịch vụ API phải sử dụng cùng một khóa bí mật để xác minh chữ ký. Ưu điểm chính của việc sử dụng khóa số ít là làm như vậy nhanh hơn và đòi hỏi ít sức mạnh tính toán hơn để tạo và xác minh chữ ký. Một ví dụ điển hình về khóa đối xứng là HMAC.

Phím bất đối xứng

Chúng liên quan đến việc sử dụng hai khóa: khóa riêng và khóa chung, khác nhau nhưng được liên kết bằng mật mã. Khóa riêng được sử dụng để tạo chữ ký và khóa chung được sử dụng để xác minh chữ ký. Khóa API được tạo bởi chủ sở hữu API nhưng cặp khóa riêng và khóa chung được tạo bởi người dùng. Chủ sở hữu API chỉ cần sử dụng khóa chung để xác minh chữ ký, vì vậy khóa riêng có thể được giữ nguyên cục bộ và bí mật.

Ưu điểm chính của việc sử dụng khóa bất đối xứng là tính bảo mật cao hơn trong việc tách các khóa xác minh và tạo chữ ký. Điều này cho phép các hệ thống bên ngoài xác minh chữ ký mà không thể tạo chữ ký. Một ưu điểm khác là một số hệ thống mã hóa bất đối xứng hỗ trợ thêm mật khẩu vào khóa riêng. Một ví dụ điển hình là cặp khóa RSA.

Khóa API có an toàn không?

Trách nhiệm của khóa API thuộc về người dùng. Khóa API tương tự như mật khẩu và cần được xử lý cẩn thận. Chia sẻ khóa API cũng tương tự như chia sẻ mật khẩu và do đó, không nên thực hiện việc này vì làm như vậy sẽ khiến tài khoản của người dùng gặp rủi ro.

Khóa API thường là mục tiêu của các cuộc tấn công mạng vì chúng có thể được sử dụng để thực hiện các hoạt động mạnh mẽ trên hệ thống, chẳng hạn như yêu cầu thông tin cá nhân hoặc thực hiện các giao dịch tài chính. Trên thực tế, đã có trường hợp trình thu thập thông tin tấn công thành công cơ sở dữ liệu mã trực tuyến để đánh cắp khóa API.

Hậu quả của việc đánh cắp khóa API có thể rất nghiêm trọng và dẫn đến tổn thất tài chính đáng kể. Hơn nữa, vì một số khóa API không hết hạn nên những kẻ tấn công có thể sử dụng chúng vô thời hạn sau khi bị đánh cắp, cho đến khi chính các khóa đó bị thu hồi.

Các phương pháp hay nhất khi sử dụng khóa API

Do khả năng truy cập vào dữ liệu nhạy cảm và lỗ hổng chung nên việc sử dụng khóa API một cách an toàn là điều hết sức quan trọng. Bạn có thể làm theo các nguyên tắc thực hành tốt nhất sau khi sử dụng khóa API để cải thiện tính bảo mật tổng thể của chúng:

  1. Xoay khóa API của bạn thường xuyên nếu có thể. Điều này có nghĩa là bạn nên xóa khóa API hiện tại của mình và tạo một khóa mới. Với nhiều hệ thống, thật dễ dàng để tạo và xóa khóa API. Tương tự như cách một số hệ thống yêu cầu bạn thay đổi mật khẩu 30 đến 90 ngày một lần, bạn nên luân phiên các khóa API với tần suất tương tự nếu có thể.

  2. Sử dụng danh sách trắng IP: Khi bạn tạo khóa API, hãy lập danh sách các IP được phép sử dụng khóa (danh sách trắng IP). Bạn cũng có thể chỉ định danh sách IP bị chặn (danh sách đen IP). Bằng cách này, ngay cả khi khóa API của bạn bị đánh cắp, địa chỉ IP không được nhận dạng vẫn không thể truy cập được.

  3. Sử dụng nhiều khóa API: Việc có nhiều khóa và phân chia trách nhiệm giữa chúng sẽ làm giảm rủi ro bảo mật vì bảo mật của bạn sẽ không xoay quanh một khóa duy nhất có nhiều quyền. Bạn cũng có thể đặt các danh sách IP trắng khác nhau cho từng khóa, giúp giảm thiểu rủi ro bảo mật hơn nữa.

  4. Lưu trữ khóa API một cách an toàn: Không lưu trữ khóa của bạn ở những nơi công cộng, trên máy tính công cộng hoặc ở định dạng văn bản thuần túy ban đầu của chúng. Thay vào đó, hãy lưu trữ từng dữ liệu bằng cách sử dụng mã hóa hoặc trình quản lý bí mật để bảo mật tốt hơn và cẩn thận để không vô tình làm lộ chúng.

  5. Không chia sẻ khóa API của bạn. Chia sẻ khóa API của bạn cũng tương tự như chia sẻ mật khẩu của bạn. Khi làm như vậy, bạn cấp cho bên khác các đặc quyền xác thực và ủy quyền giống như bạn. Nếu chúng bị xâm phạm, khóa API của bạn có thể bị đánh cắp và sử dụng để xâm nhập vào tài khoản của bạn. Khóa API chỉ nên được sử dụng giữa bạn và hệ thống tạo ra nó.

Nếu khóa API của bạn bị xâm phạm, trước tiên bạn cần phải tắt nó để tránh thiệt hại thêm. Nếu có thiệt hại về tài chính, hãy chụp ảnh màn hình các thông tin chính liên quan đến vụ việc, liên hệ với các đơn vị liên quan và trình báo cảnh sát. Đây là cách tốt nhất để tăng cơ hội lấy lại số tiền đã mất.

Bớt tư tưởng

Khóa API cung cấp các chức năng xác thực và ủy quyền cốt lõi, đồng thời người dùng phải quản lý và bảo vệ khóa của mình một cách cẩn thận. Có nhiều lớp và khía cạnh để đảm bảo việc sử dụng khóa API một cách an toàn. Nhìn chung, khóa API phải được coi như mật khẩu cho tài khoản của bạn.

Đọc thêm

  • Nguyên tắc bảo mật chung

  • 5 trò lừa đảo tiền điện tử phổ biến và cách tránh chúng