Alors, comme, qu'est-ce qu'une clé API vraiment ? Et comment assure-t-il la sécurité ?

Commençons par la définition standard : Une clé API est une chaîne de caractères utilisée pour identifier et authentifier une application ou un utilisateur qui demande le service d'une API (interface de programmation d'application). Dans cet article, nous décomposons cette définition pour les personnes curieuses (technologiques ou non) qui veulent connaître l'histoire intérieure de ce qu'est et fait une clé API, et comment cela fonctionne. Une clé API est un code secret qui vous permet d'accéder à l'intérieur Identification et authentification Une clé API est le mécanisme de sécurité standard pour toute application qui fournit un service à d'autres applications. Bien qu'elles ne soient pas la seule méthode (les API peuvent utiliser JWT, dont nous avons parlé ici : ) les clés API sont la méthode la plus souvent utilisée pour sécuriser une API. API keys vs JWT auth , L' est un exemple de service API ("endpoint") qui nécessite une clé API. Si vous donnez une adresse physique à l'API de Google (par exemple "1001 Main Street, NY, NY"), l'API renverra la latitude et la longitude de l'emplacement le plus probable (40.736124774992504, -73.82508447321075). API Google Maps Cependant, sans clé API valide, Google ne répondra pas à votre demande. Vous avez besoin d'une autorisation spéciale. La clé API permet à Google de savoir qui vous êtes et si vous avez le droit d'accéder à leur service de carte. C'est ce qu'on appelle l'authentification (par opposition à l'autorisation, dont nous parlerons plus loin dans l'article.) D'ailleurs, histoire de comprendre comment fonctionne le mécanisme, quand on écrit ou on fait référence à l'envoi d'informations à un serveur de Google (faire une requête telles que Post et Get) et recevoir des informations en retour (obtenir une réponse de la même API). "On donne une adresse à l'API de Google" "On envoie à Google une clé d'API", via des méthodes de requête HTTP En somme: Si un développeur souhaite créer une application cartographique à l'aide de la liste quasi exhaustive d'adresses mondiales de Google, il devra d'abord s'inscrire auprès de Google et obtenir une clé API pour avoir le droit d'utiliser son service API Google Map. Toutes les API ne nécessitent pas ou n'utilisent pas de clés API Certaines API ne nécessitent pas de clé API. Par exemple, l' que vous utilisez pour regarder une vidéo est en fait une requête API qui ne nécessite pas de clé API. URL Youtube Son utilisation est gratuite de n'importe où dans le monde, sur n'importe quel appareil, par tout le monde (pas seulement les développeurs). Cela dit, offrent également d'autres services nécessitant une clé API, tels que ceux qui fournissent des informations (privées ou généralement payantes) sur les listes de lecture des chaînes, l'historique des commentaires, les statistiques d'utilisation et des centaines d'autres données appartenant à Youtube. les API de Youtube Facilité d'utilisation : API-First Thinking L'une des principales préoccupations de toute API est sa facilité d'utilisation. Comme nous le répéterons ci-dessous dans le contexte de la sécurité : la facilité d'utilisation est primordiale pour l'utilisation de l'API. Cela inclut de rendre l'accès à leurs API facile et sécurisé, ce que les clés API sont conçues pour fournir. Toutes les entreprises axées sur l'API souhaitent minimiser toutes les frictions lors de l'utilisation de leurs produits API. Clés API - Comment elles fonctionnent Comme décrit ci-dessus, une clé API permet à un serveur d'identifier tout développeur ou application (le ou ) tentant d'accéder à ses services. demandeur l'utilisateur Une clé API définit également un ensemble de . Les droits d'accès autorisent le demandeur à effectuer des actions spécifiques et lui interdisent d'entreprendre d'autres actions. droits d'accès Entrons dans les détails. Votre clé API est un identifiant unique, généralement une longue chaîne de caractères Vos clés API sont composés d'une combinaison de chiffres et de lettres. Certains contiennent également des caractères non alphanumériques. des identifiants uniques L'identifiant unique ne signifie rien en soi ; sa seule signification est son unicité. Cela s'apparente à un mot de passe ou à un code secret. Les clés API contiennent généralement plus de 64 caractères et sont générées par des systèmes de randomisation qui créent (souvent appelés ). des identifiants universels uniques GUID Obtenir l'accès : authentification ou échec Considérez une clé API comme un moyen d'accéder aux données et aux fonctionnalités d'une application via une API. Chaque demandeur d'API envoie au serveur un identifiant unique, que le serveur utilise pour déterminer ( ) si la personne ou l'application qui demande le service a le droit de le faire. authentifier Si le serveur ne peut pas authentifier le demandeur d'un appel API (requête), il renvoie une réponse d'échec. C'est l'idée de base derrière la création d'une clé API : si vous utilisez une clé que le serveur ne reconnaît pas, vous ne pourrez pas utiliser le service. Cependant, si serveur reconnaît la clé API et authentifie le détenteur de la clé, cet utilisateur a le droit d'utiliser le service. le L'étape suivante consiste pour le serveur à le demandeur à faire une ou plusieurs choses. autoriser Autorisation Le processus d'autorisation détermine les et la d'un demandeur . L'autorisation définit la manière exacte dont un demandeur authentifié peut utiliser une API. droits portée Cela implique de définir vos (à quelles fonctionnalités et données vous pouvez accéder) et votre (combien de données, combien de temps vous pouvez utiliser l'API, etc.). droits portée Droits Les droits concernent ce que vous pouvez faire. Si la clé API du demandeur contient le droit de rechercher les données, le demandeur peut les données pour effectuer la recherche. lire Si le demandeur a le droit d' des données, alors le demandeur peut effectuer certaines ou toutes les opérations d' . L'accès en écriture est généralement fourni avec plus de détails. Par exemple, le demandeur peut avoir le droit de mettre à un index mais pas de des enregistrements. écrire écriture jour supprimer Vous pouvez également combiner les droits. Par exemple, un demandeur peut disposer de capacités de lecture et d'écriture, ou simplement de lecture seule. Généralement, les demandeurs disposent de plusieurs API pour effectuer différentes actions. Par exemple: à la fois Lecture seule pour les recherches. Accès en lecture et écriture pour la navigation ainsi que l'indexation (ajouts, mises à jour, suppressions). , qui comprend tout, y compris la création d'autres API. Accès administrateur Droits d'administration Chaque système d'API possède une clé d'API globale qui permet non seulement les opérations de lecture et d'écriture, mais également un accès complet à tout ce qu'une API peut faire d'autre. Par exemple, une API d'administration permet aux applications et aux utilisateurs d'effectuer des méta-actions telles que l'ajout, la suppression ou la modification d'utilisateurs, d'identifiants, de droits et d'étendues. Compte tenu de la puissance d'une clé d'API d'administration, vous souhaiterez que cette clé d'API soit complètement sécurisée, c'est-à-dire cachée et verrouillée du public. Il en va de même pour toute clé API de niveau écriture. Les clés en lecture seule peuvent être plus flexibles selon le cas d'utilisation. La lecture de données sensibles pour l'entreprise nécessite évidemment une sécurité plus élevée que la recherche de produits et de films sur un site Web. Portée Une fois qu'un demandeur a le droit de faire quelque chose, une API peut restreindre ou étendre les capacités du demandeur dans le cadre de ce droit. Par exemple, si un demandeur a le droit général de mettre à jour les index, la clé API peut limiter l'accès du demandeur à certains index uniquement. Ou, la clé API peut étendre l'accès en lecture seule qui permet à un demandeur d'accéder uniquement à un petit nombre d'enregistrements. Vous pouvez utiliser la portée pour plus de sécurité en filtrant certaines adresses IP. Vous pouvez également définir un temps de validité, peut-être une demande par jour, ou sur un petit nombre quotidien de demandes sur une période de 30 jours. Enfin, une clé API peut fournir des limitations basées sur des filtres. Par exemple, une clé API peut permettre à un utilisateur de mettre à jour uniquement les articles « vêtements » ou « alimentation ». Ou il peut restreindre un demandeur en lecture seule pour effectuer des recherches ou des filtres prédéfinis. Un bon exemple du dernier point sur l'utilisation restrictive de l'API est l'endroit où vous accordez un accès en lecture seule, mais le restreignez avec un filtre qui omet les données sensibles. Cela ajoute une sécurité supplémentaire, permettant au demandeur de voir les données conçues uniquement pour l'affichage public. Mais la sécurité nécessite plus de discussion. Sécurisation de la clé API En termes de sécurité, une clé API ne va pas plus loin. Essentiellement, si une clé est volée ou divulguée, il n'y a plus de sécurité. Une clé API volée ou divulguée Il existe de nombreuses façons d'obtenir une clé API. Les pirates peuvent intercepter la demande, voler la clé, puis transformer la demande en quelque chose de bien plus dommageable. Ou, comme c'est le plus souvent le cas, un développeur peut accidentellement révéler la clé API en l'envoyant sur Internet pour que quiconque puisse la trouver facilement. Ou le pousser accidentellement vers un référentiel Git. Ou écrivez-le sur une serviette et laissez-le sur la table du restaurant. Mesures de sécurité Certaines mesures de sécurité reposent sur des contrôles de sécurité supplémentaires. Certaines de ces méthodes nécessitent que le demandeur effectue un travail supplémentaire, ce qui nuit à la popularité d'une API. Il convient de garder à l'esprit l'API 101 : La facilité d'utilisation est primordiale pour l'utilisation de l'API, vous souhaitez donc minimiser toutes les frictions. Voici quelques mesures de sécurité qui ne nécessitent pour l'utilisateur de l'API : aucune surcharge ou charge supplémentaire Créer des limites de taux, qui contrôlent le nombre de fois que l'API peut être appelée. Créer d'autres limites ou restrictions d'application pour minimiser les attaques. Utilisation de méthodes de détection d'attaques pour signaler un comportement inattendu, des référents ou un comportement d'attaque connu. Rejeter les demandes qui sont hors norme ou qui portent atteinte à la vie privée ou aux données. Et comme mentionné ci-dessus, supprimer l'accès aux données non sensibles. Créez manuellement ou automatisez régulièrement la génération de nouvelles clés API. Beaucoup de ces protections peuvent être ajoutées dans l'en-tête en tant que paramètres dans la requête API. Note technique : Voici les techniques de sécurité d'API les plus populaires qui obligent les développeurs à faire plus que simplement fournir une clé API : Utilisation d'un type spécial de clé API appelée clé API sécurisée. Connexion et utilisation des identifiants et mots de passe utilisateur. Utiliser des jetons d'authentification (par exemple, des jetons JWT) pour l'authentification et l'autorisation. Cryptage. Pour que cela fonctionne, l'utilisateur doit disposer du même logiciel de chiffrement que celui du serveur API. Le logiciel de chiffrement convertit la clé API en données illisibles, que seul le serveur API peut comprendre. La clé API sécurisée : fournir une sécurité basée sur le serveur avec une clé API temporaire Une contient des mesures de sécurité supplémentaires par rapport à la clé API standard : (a) elle est éphémère (créée à la volée et temporaire) ; en tant que tel, il ne peut pas être vu sur un tableau de bord pour être modifié ou géré de quelque manière que ce soit. clé API sécurisée Plus important encore, (b) il contient l'identifiant de l'utilisateur - ainsi, un seul utilisateur peut utiliser la clé. Normalement, les clés API sont générées , pour utilisateur, et restent les mêmes à vie. Cependant, il y a deux inconvénients avec les clés permanentes : une seule fois n'importe quel Une fois que quelqu'un a volé la clé, il pourra l'utiliser jusqu'à ce que le vol soit découvert et que la clé soit retirée. Si vous avez besoin de 10 000 utilisateurs pour avoir des clés uniques, vous devrez les créer et les gérer toutes. Et bien que vous puissiez automatiser la génération de nouvelles clés API, vous devrez presque toujours modifier manuellement le code. La plupart des applications de niveau production ont besoin de quelque chose de plus sécurisé et plus facile à gérer, sans aucun travail supplémentaire. Comment ça marche : Une clé API sécurisée exploite la session et/ou l'identifiant de l'utilisateur en incluant ces informations dans le cadre de la génération de clé. Essentiellement, la clé est générée à la volée en combinant l'identifiant de l'utilisateur avec la portée de la clé (par exemple, les limites de temporisation, les filtres de sécurité). Une fois la clé générée, le demandeur doit toujours envoyer la clé d'API générée son ID utilisateur et sa portée. Le serveur d'API générera ensuite à nouveau la clé à l'aide de l'ID utilisateur et de la portée, puis la comparera à la clé envoyée par l'utilisateur. S'ils diffèrent, alors c'est évidemment un hack. ainsi que Cette logique de double contrôle n'est qu'un pas vers une meilleure sécurité. L'étape suivante consiste à demander à l'utilisateur de l'API de se connecter. Connexion - Création de clés API avec des identifiants d'utilisateur, des mots de passe, des jetons JWT, OAuth et OpenID La dernière méthode de sécurité que nous mentionnerons ici consiste à demander à l'utilisateur de l'API de se connecter. Dans ce scénario, si la connexion réussit, le serveur d'API émet un unique et illisible que l'utilisateur de l'API doit utiliser tant qu'il reste connecté. De plus, le jeton inclut les informations d'identification de l'utilisateur, ce qui rend difficile pour quiconque autre que l'utilisateur de envoyer le jeton. jeton Ainsi, nous améliorons la méthode de clé API sécurisée temporaire de deux manières importantes : JWT nécessite une connexion. JWT génère un jeton dont la valeur contient une version chiffrée des informations d'identification de connexion de l'utilisateur. Ces informations d'identification de l'utilisateur permettent au serveur d'API d'authentifier l'utilisateur à demande d'API successive. chaque En savoir plus sur le et ses différences avec une clé API. jeton JWT Conception et mise en œuvre de la meilleure API - Suivi de l'utilisation Nous avons discuté des objectifs de la clé API, de son apparence, de son fonctionnement et de ce qui peut et ne peut pas être fait avec une clé API. Nous sommes également entrés dans les détails concernant la sécurité. Nous terminerons sur un autre aspect : celui du suivi de l'utilisation de l'API et de l'amélioration de l'API. Une API s'appuie sur l'expérience utilisateur pour améliorer sa conception et ses fonctionnalités. Une entreprise qui souhaite offrir la meilleure API sur le marché concurrentiel croissant des API doit savoir comment ses clients utilisent leurs API. En enregistrant chaque demande - quelles demandes, le nombre de demandes, le succès et les échecs de chaque demande, le fournisseur d'API ajoute des rapports, un débogage et une analyse à la conception et à la mise en œuvre de l'API.

Alors, comme, qu'est-ce qu'une clé API vraiment ? Et comment assure-t-il la sécurité ?

Trop long; Pour lire

Companies Mentioned

@algolia

HISTOIRES CONNEXES