Baseret på søgeresultaterne er her de vigtigste punkter ved brug af OpenAI API-nøgler med token-servere for bedre sikkerhed:
De største sikkerhedsproblemer omkring OpenAI API-nøgler er, at hvis nøglen er afsløret, kan den bruges af alle til at få adgang til din OpenAI-konto og pådrage sig gebyrer. For at mindske denne risiko anbefaler søgeresultaterne flere tilgange:
1. Brug miljøvariabler eller hemmelige administrationstjenester som AWS Secrets Manager, HashiCorp Vault eller CyberArk Conjur til at gemme API-nøglen sikkert på serversiden i stedet for at indlejre den i kode på klientsiden.[1][3]
2. Implementer en middleware API på din egen server, der håndterer API-kaldene til OpenAI, så API-nøglen aldrig eksponeres for klienten.[3]
3. Brug en gateway-tjeneste som Zuplo, der kan fungere som en proxy, opbevare din API-nøgle sikkert og tilføje de nødvendige autorisationsheadere, før du videresender anmodningen til OpenAI.[4]
4. Begræns API-nøglens tilladelser til kun de nødvendige slutpunkter i stedet for at bruge en ubegrænset nøgle.[2]
5. Roter regelmæssigt API-nøglen og opdater alle tjenester ved hjælp af den gamle nøgle.[3]
Så sammenfattende er den anbefalede tilgang at bruge en token-server eller middleware API til at administrere OpenAI API-nøglen sikkert i stedet for at udsætte den direkte for klientapplikationer. Dette giver et ekstra lag af sikkerhed og kontrol over, hvem der kan få adgang til API'en.[1][3][4]
Citater:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185