Na základě výsledků vyhledávání jsou zde klíčové body používání klíčů OpenAI API se servery tokenů pro lepší zabezpečení:
Hlavní bezpečnostní obavy týkající se klíčů OpenAI API jsou to, že pokud je klíč vystaven, může jej použít kdokoli pro přístup k vašemu účtu OpenAI a vzniku poplatků. Abychom toto riziko zmírnili, výsledky vyhledávání doporučují několik přístupů:
1. Používejte proměnné prostředí nebo tajné služby správy, jako je AWS Secrets Manager, Hashicorp Vault nebo Cyberark Conjur k bezpečně ukládání klíče API na straně serveru, spíše než vkládat do kódu na straně klienta. [1] [3]
2. Implementujte rozhraní API middlewaru na vlastní server, které zpracovává volání API na OpenAI, takže klíč API není nikdy vystaven klientovi. [3]
3. Použijte službu brány, jako je Zuplo, která může působit jako proxy, bezpečně ukládat klíč API a přidat potřebné záhlaví autorizace před předáním požadavku na OpenAI. [4]
4. Omezte oprávnění klíče API pouze na nezbytné koncové body, spíše než použití neomezeného klíče. [2]
5. Pravidelně otočte klíč API a aktualizujte všechny služby pomocí starého klíče. [3]
Stručně řečeno, doporučeným přístupem je použití tokenového serveru nebo API middlewaru k bezpečnému řízení klíče OpenAI API, spíše než jej vystavit přímo klientským aplikacím. To poskytuje další vrstvu zabezpečení a kontroly nad tím, kdo má přístup k API. [1] [3] [4]
Citace:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-apping-the-api-ykey-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-Bring-wour-wn-ysage/161185