Na základě výsledků vyhledávání jsou zde uvedeny klíčové body používání klíčů API OpenAI s tokenovými servery pro lepší zabezpečení:
Hlavní bezpečnostní obavy týkající se klíčů OpenAI API spočívají v tom, že pokud je klíč odhalen, může jej kdokoli použít k přístupu k vašemu účtu OpenAI a vzniknout mu poplatky. Ke zmírnění tohoto rizika doporučují výsledky vyhledávání několik přístupů:
1. Použijte proměnné prostředí nebo služby správy tajných informací, jako je AWS Secrets Manager, HashiCorp Vault nebo CyberArk Conjur, k bezpečnému uložení klíče API na straně serveru, nikoli jeho vkládání do kódu na straně klienta.[1][3]
2. Implementujte na svém vlastním serveru middlewarové API, které zpracovává volání API do OpenAI, takže klíč API nebude klientovi nikdy vystaven.[3]
3. Použijte službu brány, jako je Zuplo, která může fungovat jako proxy, bezpečně ukládat váš API klíč a přidávat potřebné autorizační hlavičky před předáním požadavku OpenAI.[4]
4. Omezte oprávnění klíče API pouze na nezbytné koncové body namísto použití neomezeného klíče.[2]
5. Pravidelně střídejte klíč API a aktualizujte všechny služby pomocí starého klíče.[3]
Stručně řečeno, doporučeným přístupem je použití tokenového serveru nebo middlewarového rozhraní API pro bezpečnou správu klíče API OpenAI, spíše než jeho přímé vystavení klientským aplikacím. To poskytuje další vrstvu zabezpečení a kontrolu nad tím, kdo má k API přístup.[1][3][4]
Citace:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185