Шифрование ключа ключа API

Question

Я только начал экспериментировать с API RESTful.

Как правило, существуют два вида: открытые API и частные APis, для которых вам нужны ключи API. Для чего используются API-ключи? Могут ли они обеспечить шифрование данных? Я запутался, потому что у некоторых поставщиков API есть 2 набора ключей, один публичный и другой частный, возможно, указывая на безопасность данных и контента?

Подводя итог, если я запрашиваю базу данных с использованием API RESTful и его ключа, ответ, который я получаю из базы данных, будет защищен/зашифрован или ключи API-интерфейсов используются только для аутентификации источника запроса?

Answer 1

Ключи API обычно используются для идентификации и аутентификации, а не для шифрования. Клиент включает их в запросы, поэтому сервер может определить, какой клиент делает запрос, и быть уверенным, что звонок действительно поступает от этого клиента.

(Иногда ключи API используются для идентификации, иногда нет. Ключ API можно использовать как пароль, поэтому клиенту также необходимо идентифицировать себя с именем пользователя или идентификатором клиента. Но тенденция не беспокоить с этим и просто выпустить достаточно сложные ключи API, чтобы они были уникальными для всех пользователей.)

В простейшем случае сервер просто ищет ключ API и возвращает идентификатор пользователя. Обычно это происходит в начале цикла запроса-ответа сервера, и после этой точки идентификатор клиента может использоваться для дальнейших проверок и протоколирования, поэтому ключ API больше не имеет отношения.

Что касается шифрования данных, неясно, почему вы хотите сделать это на стороне сервера. Обычно шифрование паролей и, действительно, хорошая практика также шифровать ключи API, но это только учетные данные. Обычно вы не шифруете фактические данные на сервере. Это можно сделать в угловых случаях как средство хостинг-хостинга, где клиент не хочет доверять серверу своими данными, но это серьезно ограничивает функциональность сервера.