Itqualityassurance
- Devrais-je cacher ma clé API?
- Comment protéger mes clés d'API?
- Et si une clé API est exposée?
- Quelqu'un peut-il voler ma clé API?
Devrais-je cacher ma clé API?
Dois-je cacher mes clés API? Les clés secrètes API ne doivent jamais être placées dans un code côté client ou doivent être cachées. Cependant, les clés API en lecture seule ne présenteront aucun risque si vous les collez dans votre code JavaScript qui s'engagera dans votre navigateur.
Comment protéger mes clés d'API?
Si vous stockez des clés API ou toute autre information privée dans les fichiers, gardez les fichiers en dehors de l'arborescence source de votre application pour garder vos clés hors de votre système de contrôle de code source. Ceci est particulièrement important si vous utilisez un système de gestion du code source public, comme GitHub.
Et si une clé API est exposée?
Les clés API exposées peuvent être utilisées à la fois pour exploiter les vulnérabilités ou les bogues dans le codage de l'API lui-même et par l'abus d'API (où l'API est accessible ou utilisée d'une manière qui n'était pas destinée). Les exemples d'attaques incluent la prise de contrôle du compte, la création automatisée de compte, le grattage des données ou les attaques DDOS.
Quelqu'un peut-il voler ma clé API?
Pire encore, les criminels peuvent facilement contourner les paramètres de «commerce uniquement» sur les clés de l'API et voler de l'argent aux comptes des commerçants même sans obtenir leur compte d'identification ou les droits de retrait.
