तो, लाइक, वास्तव में एक एपीआई कुंजी क्या है? और यह सुरक्षा कैसे प्रदान करता है?

हम मानक परिभाषा के साथ शुरू करेंगे:

एक एपीआई कुंजी किसी एप्लिकेशन या उपयोगकर्ता को पहचानने और प्रमाणित करने के लिए उपयोग किए जाने वाले वर्णों की एक स्ट्रिंग है जो एपीआई (एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस) की सेवा का अनुरोध करता है।

इस लेख में, हम जिज्ञासु लोगों (तकनीक या गैर-तकनीक) के लिए इस परिभाषा को तोड़ते हैं, जो एपीआई कुंजी क्या है और क्या करती है, और यह कैसे काम करती है, की अंदरूनी कहानी जानना चाहते हैं।

एक एपीआई कुंजी एक गुप्त कोड है जो आपको अंदर ले जाता है

पहचान और प्रमाणीकरण

एक एपीआई कुंजी किसी भी एप्लिकेशन के लिए मानक सुरक्षा तंत्र है जो अन्य अनुप्रयोगों को सेवा प्रदान करती है।

जबकि वे एकमात्र विधि नहीं हैं (एपीआई जेडब्ल्यूटी का उपयोग कर सकते हैं, जिसके बारे में हमने यहां लिखा है: एपीआई कुंजी बनाम जेडब्ल्यूटी ऑथ ) , एपीआई कुंजी एपीआई हासिल करने का सबसे अधिक इस्तेमाल किया जाने वाला तरीका है।

Google मानचित्र API एक API सेवा ("समापन बिंदु") का एक उदाहरण है जिसके लिए API कुंजी की आवश्यकता होती है। यदि आप Google के एपीआई को एक भौतिक पता देते हैं ("1001 मेन स्ट्रीट, एनवाई, एनवाई" कहें), तो एपीआई सबसे संभावित स्थान (40.736124774992504, -73.82508447321075) का अक्षांश और देशांतर लौटाएगा।

हालांकि, एक मान्य API कुंजी के बिना, Google आपके अनुरोध का उत्तर नहीं देगा। आपको विशेष अनुमति की आवश्यकता है। एपीआई कुंजी Google को यह बताती है कि आप कौन हैं और क्या आपको उनकी मानचित्र सेवा तक पहुंचने का अधिकार है।

इसे प्रमाणीकरण कहा जाता है (प्राधिकरण के विपरीत, जिसकी चर्चा हम लेख में बाद में करेंगे।)

वैसे, यह समझने के लिए कि तंत्र कैसे काम करता है, जब हम लिखते हैं, "हम Google के एपीआई को एक पता देते हैं" , या "हम Google को एक एपीआई कुंजी भेजते हैं", तो हम एक Google सर्वर को जानकारी भेजने की बात कर रहे हैं (अनुरोध करना) HTTP अनुरोध विधियों जैसे पोस्ट और गेट के माध्यम से ) और जानकारी वापस प्राप्त करना (उसी एपीआई से प्रतिक्रिया प्राप्त करना)।

राशि में:

यदि कोई डेवलपर Google के विश्व पतों की लगभग संपूर्ण सूची का उपयोग करके एक मानचित्र एप्लिकेशन बनाना चाहता है, तो उन्हें पहले Google के साथ साइन अप करना होगा और अपनी Google मानचित्र API सेवा का उपयोग करने का अधिकार प्राप्त करने के लिए एक API कुंजी प्राप्त करनी होगी।

सभी API को API कुंजियों की आवश्यकता नहीं होती है या उनका उपयोग नहीं होता है

कुछ एपीआई को एपीआई कुंजी की आवश्यकता नहीं होती है। उदाहरण के लिए, वीडियो देखने के लिए आप जिस Youtube URL का उपयोग करते हैं, वह वास्तव में एक API अनुरोध है जिसके लिए API कुंजी की आवश्यकता नहीं होती है।

यह दुनिया में कहीं से भी, किसी भी डिवाइस पर, सभी लोगों द्वारा (सिर्फ डेवलपर्स के लिए नहीं) उपयोग करने के लिए स्वतंत्र है।

उस ने कहा, यूट्यूब के एपीआई अन्य सेवाएं भी प्रदान करते हैं जिनके लिए एपीआई कुंजी की आवश्यकता होती है, जैसे कि चैनल प्लेलिस्ट, टिप्पणी इतिहास, उपयोग के आंकड़े, और सैकड़ों अन्य यूट्यूब-स्वामित्व वाले डेटा के बारे में जानकारी (निजी या आमतौर पर भुगतान की गई)।

उपयोग में आसानी: एपीआई-पहली सोच

किसी भी एपीआई के साथ एक केंद्रीय चिंता इसका उपयोग में आसानी है। जैसा कि हम सुरक्षा के संदर्भ में नीचे दोहराएंगे: उपयोग में आसानी एपीआई उपयोग के लिए सर्वोपरि है।

सभी एपीआई-प्रथम कंपनियां अपने एपीआई उत्पादों का उपयोग करने में सभी घर्षण को कम करना चाहती हैं। इसमें उनके एपीआई तक पहुंच को आसान और सुरक्षित बनाना शामिल है, जो कि एपीआई कुंजी प्रदान करने के लिए डिज़ाइन किया गया है।

एपीआई कुंजी - वे कैसे काम करते हैं

जैसा कि ऊपर वर्णित है, एक एपीआई कुंजी सर्वर को किसी भी डेवलपर या एप्लिकेशन ( अनुरोधकर्ता या उपयोगकर्ता ) की पहचान करने में सक्षम बनाती है जो उसकी सेवा (सेवाओं) तक पहुंचने का प्रयास कर रहा है।

एक एपीआई कुंजी एक्सेस अधिकारों के एक सेट को भी परिभाषित करती है। एक्सेस अधिकार अनुरोधकर्ता को विशिष्ट कार्रवाई करने और अन्य कार्रवाई करने से मना करने के लिए अधिकृत करते हैं।

आइए विवरण में आते हैं।

आपकी एपीआई कुंजी एक विशिष्ट पहचानकर्ता है, आमतौर पर वर्णों की एक लंबी स्ट्रिंग

आपकी API कुंजियाँ विशिष्ट पहचानकर्ता हैं जो संख्याओं और अक्षरों के संयोजन से बनी होती हैं। कुछ में गैर-अल्फ़ान्यूमेरिकल वर्ण भी होते हैं।

अद्वितीय पहचानकर्ता अपने आप में कुछ भी नहीं दर्शाता है; इसका एकमात्र अर्थ इसकी विशिष्टता है। यह एक पासवर्ड या गुप्त कोड के समान है।

एपीआई कुंजी में आमतौर पर 64 से अधिक वर्ण होते हैं और सिस्टम रैंडमाइज़र द्वारा उत्पन्न होते हैं जो सार्वभौमिक विशिष्ट पहचानकर्ता (जिन्हें अक्सर GUID कहा जाता है) बनाते हैं।

पहुँच प्राप्त करना: प्रमाणीकरण या विफलता

एपीआई के माध्यम से किसी एप्लिकेशन के डेटा और कार्यक्षमता तक पहुंच प्राप्त करने के तरीके के रूप में एपीआई कुंजी के बारे में सोचें।

प्रत्येक एपीआई अनुरोधकर्ता सर्वर को एक विशिष्ट पहचानकर्ता भेजता है, जिसका उपयोग सर्वर यह निर्धारित करने ( प्रमाणित ) करने के लिए करता है कि सेवा का अनुरोध करने वाले व्यक्ति या एप्लिकेशन को ऐसा करने का अधिकार है या नहीं।

यदि सर्वर एपीआई कॉल (अनुरोध) के अनुरोधकर्ता को प्रमाणित नहीं कर सकता है, तो यह एक विफलता प्रतिक्रिया वापस भेजता है। एपीआई कुंजी क्यों बनाते हैं इसके पीछे यह मूल विचार है: यदि आप ऐसी कुंजी का उपयोग कर रहे हैं जिसे सर्वर नहीं पहचानता है, तो आप सेवा का उपयोग नहीं कर पाएंगे।

हालांकि, अगर सर्वर एपीआई कुंजी को पहचानता है और कुंजी के धारक को प्रमाणित करता है, तो उस उपयोगकर्ता को सेवा का उपयोग करने का अधिकार है।

अगला कदम सर्वर के लिए अनुरोधकर्ता को एक या अधिक काम करने के लिए अधिकृत करना है।

प्राधिकार

प्राधिकरण प्रक्रिया अनुरोधकर्ता के अधिकारों और कार्यक्षेत्र को निर्धारित करती है। प्राधिकरण सटीक तरीके को परिभाषित करता है जिसमें एक प्रमाणित अनुरोधकर्ता एपीआई का उपयोग कर सकता है।

इसमें आपके अधिकारों को परिभाषित करना शामिल है (आप किस कार्यक्षमता और डेटा तक पहुंच सकते हैं) और दायरा (कितना डेटा, आप कितने समय तक एपीआई का उपयोग कर सकते हैं, और बहुत कुछ)।

अधिकार

अधिकार इस बारे में हैं कि आप क्या कर सकते हैं। यदि अनुरोधकर्ता की एपीआई कुंजी में डेटा खोजने का अधिकार है, तो अनुरोधकर्ता खोज करने के लिए डेटा को पढ़ सकता है।

यदि अनुरोधकर्ता को डेटा लिखने का अधिकार है, तो अनुरोधकर्ता कुछ या सभी लेखन कार्य कर सकता है। लेखन पहुंच आमतौर पर अधिक विवरण के साथ आती है। उदाहरण के लिए, अनुरोधकर्ता के पास इंडेक्स को अपडेट करने का अधिकार हो सकता है लेकिन रिकॉर्ड्स को हटाने का नहीं।

आप अधिकारों को भी जोड़ सकते हैं। उदाहरण के लिए, एक अनुरोधकर्ता के पास पढ़ने और लिखने की क्षमता हो सकती है, या केवल-पढ़ने के लिए। आम तौर पर, अनुरोधकर्ताओं के पास अलग-अलग कार्रवाइयां करने के लिए कई एपीआई होते हैं. उदाहरण के लिए:

खोजों के लिए केवल पढ़ने के लिए।

ब्राउज़िंग के साथ-साथ अनुक्रमण (जोड़ें, अपडेट करें, हटाता है) के लिए पहुंच पढ़ें और लिखें।

व्यवस्थापक पहुंच , जिसमें अन्य API बनाने सहित सब कुछ शामिल है।

व्यवस्थापक अधिकार

प्रत्येक एपीआई सिस्टम में एक वैश्विक एपीआई कुंजी होती है जो न केवल पढ़ने और लिखने के संचालन की अनुमति देती है, बल्कि एक एपीआई जो कुछ भी कर सकती है, उसके लिए पूर्ण पहुंच प्रदान करती है।

उदाहरण के लिए, एक व्यवस्थापक API एप्लिकेशन और उपयोगकर्ताओं को उपयोगकर्ताओं, पहचानकर्ताओं, अधिकारों और क्षेत्रों को जोड़ने, हटाने या संशोधित करने जैसी मेटा क्रियाएं करने की अनुमति देता है।

एक व्यवस्थापक API कुंजी की शक्ति को देखते हुए, आप चाहते हैं कि यह API कुंजी पूरी तरह से सुरक्षित हो - अर्थात, जनता से छिपी और लॉक-दूर।

यह किसी भी लेखन-स्तरीय API कुंजी पर लागू होता है। उपयोग के मामले के आधार पर रीड-ओनली कुंजियाँ अधिक लचीली हो सकती हैं। किसी वेबसाइट पर उत्पादों और फिल्म को खोजने की तुलना में व्यवसाय-संवेदनशील डेटा को पढ़ने के लिए स्पष्ट रूप से उच्च सुरक्षा की आवश्यकता होती है।

दायरा

एक बार अनुरोधकर्ता के पास कुछ करने का अधिकार हो जाने पर, एपीआई उस अधिकार के भीतर अनुरोधकर्ता की क्षमताओं को सीमित या विस्तारित कर सकता है। उदाहरण के लिए, यदि किसी अनुरोधकर्ता के पास इंडेक्स को अपडेट करने का सामान्य अधिकार है, तो एपीआई कुंजी अनुरोधकर्ता की पहुंच को केवल कुछ इंडेक्स तक सीमित कर सकती है।

या, एपीआई कुंजी केवल-पढ़ने के लिए पहुंच का दायरा कर सकती है जो अनुरोधकर्ता को केवल कुछ ही रिकॉर्ड तक पहुंचने की अनुमति देती है।

आप कुछ IP पतों को फ़िल्टर करके आगे की सुरक्षा के लिए गुंजाइश का उपयोग कर सकते हैं। आप वैधता का समय भी निर्धारित कर सकते हैं, शायद प्रति दिन एक अनुरोध, या 30 दिनों की अवधि में अनुरोधों की एक छोटी दैनिक संख्या।

अंत में, एक API कुंजी फ़िल्टर-आधारित सीमाएँ प्रदान कर सकती है। उदाहरण के लिए, एक एपीआई कुंजी उपयोगकर्ता को केवल "कपड़े" या "खाद्य" आइटम अपडेट करने की अनुमति दे सकती है। या यह केवल-पढ़ने के लिए अनुरोधकर्ता को पूर्व-निर्धारित खोज या फ़िल्टर करने के लिए प्रतिबंधित कर सकता है।

प्रतिबंधात्मक API उपयोग पर अंतिम बिंदु का एक अच्छा उदाहरण वह है जहाँ आप केवल-पढ़ने के लिए पहुँच प्रदान करते हैं, लेकिन इसे एक ऐसे फ़िल्टर से प्रतिबंधित करते हैं जो संवेदनशील डेटा को छोड़ देता है। यह अतिरिक्त सुरक्षा जोड़ता है, जिससे अनुरोधकर्ता को केवल सार्वजनिक देखने के लिए डिज़ाइन किया गया डेटा देखने की अनुमति मिलती है।

लेकिन सुरक्षा के लिए और अधिक चर्चा की आवश्यकता है।

एपीआई कुंजी को सुरक्षित करना

सुरक्षा के संदर्भ में, एपीआई कुंजी केवल इतनी दूर तक जाती है। अनिवार्य रूप से, यदि कोई कुंजी चोरी हो जाती है या लीक हो जाती है, तो कोई और सुरक्षा नहीं है।

एक चोरी या लीक एपीआई कुंजी

ऐसे कई तरीके हैं जिनसे कोई व्यक्ति API कुंजी प्राप्त कर सकता है। हैकर्स रिक्वेस्ट को इंटरसेप्ट कर सकते हैं, चाबी चुरा सकते हैं, और फिर रिक्वेस्ट को कुछ ज्यादा नुकसानदेह चीज में बदल सकते हैं।

या, जैसा कि अक्सर होता है, एक डेवलपर गलती से एपीआई कुंजी को इंटरनेट पर भेजकर प्रकट कर सकता है ताकि कोई भी इसे आसानी से ढूंढ सके। या गलती से इसे Git रेपो में धकेल दें। या फिर इसे रुमाल पर लिखकर रेस्टोरेंट की टेबल पर छोड़ दें।

सुरक्षा उपाय

कुछ सुरक्षा उपाय अतिरिक्त सुरक्षा जांच पर निर्भर करते हैं। इनमें से कुछ विधियों के लिए अनुरोधकर्ता को अतिरिक्त कार्य करने की आवश्यकता होती है, जो एपीआई की लोकप्रियता को कम करता है। एपीआई 101 को ध्यान में रखना उचित है:

उपयोग में आसानी एपीआई उपयोग के लिए सर्वोपरि है, इसलिए आप सभी घर्षण को कम करना चाहते हैं।

यहां कुछ सुरक्षा उपाय दिए गए हैं जिनके लिए एपीआई के उपयोगकर्ता पर कोई अतिरिक्त ओवरहेड या बोझ की आवश्यकता नहीं है:

दर सीमा बनाना, जो यह नियंत्रित करती है कि कितनी बार एपीआई को कॉल किया जा सकता है।

हमलों को कम करने के लिए अन्य सीमाएँ या अनुप्रयोग प्रतिबंध बनाना।

अनपेक्षित व्यवहार, रेफ़रलकर्ता, या ज्ञात आक्रमण व्यवहार का संकेत देने के लिए आक्रमण-पहचान विधियों का उपयोग करना।

उन अनुरोधों को अस्वीकार करना जो आदर्श से बाहर हैं या गोपनीयता या डेटा के लिए हानिकारक हैं।

और जैसा कि ऊपर उल्लेख किया गया है, गैर-संवेदनशील डेटा तक पहुंच को हटा रहा है।

नियमित रूप से नई API कुंजियों के निर्माण को मैन्युअल रूप से बनाएं या स्वचालित करें।

तकनीकी नोट: इनमें से कई सुरक्षा उपायों को एपीआई अनुरोध में पैरामीटर के रूप में हेडर में जोड़ा जा सकता है।

यहां सबसे लोकप्रिय एपीआई सुरक्षा तकनीकें दी गई हैं, जिनके लिए डेवलपर्स को केवल एपीआई कुंजी की आपूर्ति करने के अलावा और भी बहुत कुछ करने की आवश्यकता होती है:

एक विशेष प्रकार की एपीआई कुंजी का उपयोग करना जिसे सुरक्षित एपीआई कुंजी कहा जाता है।

लॉग इन करना और यूजर आईडी और पासवर्ड का उपयोग करना।

प्रमाणीकरण और प्राधिकरण के लिए प्रमाणीकरण टोकन (जैसे, JWT टोकन) का उपयोग करना।

एन्क्रिप्ट करना। इसके लिए काम करने के लिए, उपयोगकर्ता के पास वही एन्क्रिप्शन सॉफ़्टवेयर होना चाहिए जो API सर्वर के पास है। एन्क्रिप्शन सॉफ्टवेयर एपीआई कुंजी को अपठनीय डेटा में परिवर्तित करता है, जिसे केवल एपीआई सर्वर ही समझ सकता है।

सुरक्षित एपीआई कुंजी: अस्थायी एपीआई कुंजी के साथ सर्वर-आधारित सुरक्षा प्रदान करना

एक सुरक्षित एपीआई कुंजी में मानक एपीआई कुंजी पर अतिरिक्त सुरक्षा उपाय होते हैं: (ए) यह क्षणिक है (ऑन-द-फ्लाई और अस्थायी बनाया गया); जैसे, इसे किसी भी तरह से संशोधित या प्रबंधित करने के लिए डैशबोर्ड पर नहीं देखा जा सकता है।

अधिक महत्वपूर्ण बात, (बी) इसमें उपयोगकर्ता की आईडी होती है - इस प्रकार, केवल एक उपयोगकर्ता कुंजी का उपयोग कर सकता है।

आम तौर पर, एपीआई कुंजियाँ किसी भी उपयोगकर्ता के लिए एक बार उत्पन्न होती हैं, और जीवन भर एक जैसी रहती हैं। हालाँकि, स्थायी कुंजियों के साथ दो कमियाँ हैं:

एक बार जब कोई चाबी चुरा लेता है, तो वे इसका उपयोग तब तक कर सकेंगे जब तक कि चोरी का पता नहीं चल जाता और चाबी हटा नहीं दी जाती।

यदि आपको अद्वितीय कुंजी रखने के लिए 10,000 उपयोगकर्ताओं की आवश्यकता है, तो आपको उन सभी को बनाने और बनाए रखने की आवश्यकता होगी। और जब आप नई API कुंजियों के निर्माण को स्वचालित कर सकते हैं, तो आपको लगभग हमेशा कोड को मैन्युअल रूप से बदलने की आवश्यकता होगी।

अधिकांश उत्पादन-स्तर के अनुप्रयोगों को कुछ अधिक सुरक्षित और प्रबंधित करने में आसान की आवश्यकता होती है - बिना किसी अतिरिक्त कार्य के।

यह कैसे काम करता है: एक सुरक्षित एपीआई कुंजी मुख्य पीढ़ी के हिस्से के रूप में उस जानकारी को शामिल करके सत्र और/या उपयोगकर्ता आईडी का लाभ उठाती है। अनिवार्य रूप से, कुंजी के दायरे के साथ उपयोगकर्ता पहचानकर्ता को मिलाकर कुंजी ऑन-द-फ्लाई उत्पन्न होती है (उदाहरण के लिए, टाइमआउट सीमा, सुरक्षा फ़िल्टर)।

एक बार कुंजी उत्पन्न होने के बाद, अनुरोधकर्ता को हमेशा जेनरेट की गई एपीआई कुंजी और उसकी उपयोगकर्ता आईडी और दायरा भेजना होगा। एपीआई सर्वर फिर यूजर आईडी और स्कोप का उपयोग करके कुंजी को फिर से उत्पन्न करेगा, फिर इसकी तुलना उपयोगकर्ता द्वारा भेजी गई कुंजी से करें। यदि वे भिन्न हैं, तो यह स्पष्ट रूप से एक हैक है।

यह डबल-चेक लॉजिक बेहतर सुरक्षा की दिशा में केवल एक कदम है। अगला चरण एपीआई उपयोगकर्ता को लॉग इन करने के लिए कह रहा है।

लॉग इन करना - यूजर आईडी, पासवर्ड, जेडब्ल्यूटी टोकन, ओएथ और ओपनआईडी के साथ एपीआई कुंजी बनाना

अंतिम सुरक्षा पद्धति जिसका हम यहां उल्लेख करेंगे, में एपीआई उपयोगकर्ता को लॉग इन करने की आवश्यकता शामिल है।

इस परिदृश्य में, यदि लॉगऑन सफल होता है, तो एपीआई सर्वर एक अद्वितीय, अपठनीय टोकन जारी करता है जिसे एपीआई उपयोगकर्ता को लॉग इन रहने के दौरान उपयोग करना चाहिए। इसके अतिरिक्त, टोकन में उपयोगकर्ता प्रमाण-पत्र शामिल होते हैं, जिससे उपयोगकर्ता के अलावा किसी अन्य के लिए यह मुश्किल हो जाता है। टोकन भेजें।

इस प्रकार, हम दो महत्वपूर्ण तरीकों से अस्थायी सुरक्षित API कुंजी विधि में सुधार करते हैं:

JWT को लॉगऑन की आवश्यकता है।

JWT एक टोकन उत्पन्न करता है जिसके मूल्य में उपयोगकर्ता के लॉगऑन क्रेडेंशियल्स का एन्क्रिप्टेड संस्करण होता है। वे उपयोगकर्ता क्रेडेंशियल एपीआई सर्वर को हर लगातार एपीआई अनुरोध के साथ उपयोगकर्ता को प्रमाणित करने में सक्षम बनाते हैं।

JWT टोकन के बारे में और जानें कि यह API कुंजी से कैसे भिन्न है।

सर्वश्रेष्ठ एपीआई को डिजाइन और कार्यान्वित करना - ट्रैकिंग उपयोग

हमने एपीआई कुंजी के उद्देश्यों पर चर्चा की है, यह कैसा दिखता है, यह कैसे संचालित होता है, और एपीआई कुंजी के साथ किया जा सकता है और नहीं किया जा सकता है।

हमने सुरक्षा के बारे में कुछ विस्तार से भी जाना है। हम एक और पहलू पर समाप्त करेंगे: एपीआई उपयोग पर नज़र रखने और एपीआई में सुधार करने का।

एक एपीआई अपने डिजाइन और कार्यक्षमता को बेहतर बनाने के लिए उपयोगकर्ता के अनुभव पर निर्भर करता है। एक कंपनी जो बढ़ते प्रतिस्पर्धी एपीआई बाजार में पूर्ण सर्वश्रेष्ठ एपीआई की पेशकश करना चाहती है, उसे पता होना चाहिए कि उसके ग्राहक अपने एपीआई का उपयोग कैसे करते हैं।

प्रत्येक अनुरोध को लॉग करके - जो अनुरोध करता है, अनुरोधों की संख्या, प्रत्येक अनुरोध की सफलता और विफलता, एपीआई प्रदाता एपीआई के डिजाइन और कार्यान्वयन के लिए रिपोर्टिंग, डिबगिंग और विश्लेषण जोड़ता है।