Как правило, ключ API предоставляет полный доступ ко всем операциям, которые может выполнять API, включая запись новых данных или удаление существующих данных. Существуют различные типы API — те, которые не требуют авторизации или ключа, те, которые требуют получения ключа API, и токены OAuth, которые требуют нескольких шагов для аутентификации. Токены OAuth теперь обычно используются для получения пользовательских данных через API.
«Чтобы API был мощным расширением продукта, ему почти наверняка нужна аутентификация. Создавая вызовы API, которые могут читать, записывать и удалять пользовательские данные, вы можете усилить влияние приложения на жизнь своих пользователей. Таким образом, если аутентификация задана, реальный выбор — это метод. Отрасль, наконец, научилась не делиться именами пользователей и паролями, но еще многое предстоит выяснить».
Поскольку ключ API дает доступ ко всем этим операциям, важно, чтобы ваши ключи API были в безопасности и скрыты от внешнего сообщества.
Итак, что делать, если вы случайно поделились своим ключом API или отправили его на GitHub?
Самым простым объяснением было бы просто вернуться на веб-сайт API и получить новый ключ API, а этот сохранить в безопасности! Это похоже на обмен/изменение важного пароля. Однако есть способы запретить другим пользователям видеть ваш ключ API, даже когда вы фиксируете код и отправляете его на GitHub.
Есть драгоценные камни, которые позволяют вам сохранять ваши ключи API локально (на вашем собственном компьютере), но скрывают их, когда вы отправляете код онлайн.
Примером этого является драгоценный камень «фигаро»! Figaro анализирует файл YAML, игнорируемый Git, в вашем приложении и загружает его значения в ENV. Когда вам нужно получить доступ к значению, например, к ключу API, вы просто называете его определенным именем в файле YAML.
