Op basis van de zoekresultaten zijn hier de belangrijkste punten voor het gebruik van OpenAI -API -toetsen met tokenservers voor een betere beveiliging:
De belangrijkste beveiligingsproblemen rond OpenAI API -toetsen zijn dat als de sleutel wordt blootgesteld, deze door iedereen kan worden gebruikt om toegang te krijgen tot uw OpenAI -account en kosten te maken. Om dit risico te verminderen, bevelen de zoekresultaten verschillende benaderingen aan:
1. Gebruik omgevingsvariabelen of geheime managementdiensten zoals AWS Secrets Manager, Hashicorp Vault of Cyberark Conjur om de API-sleutel veilig aan de serverzijde op te slaan, in plaats van deze in te sluiten in de client-side code. [1] [3]
2. Implementeer een middleware -API op uw eigen server die de API -oproepen naar OpenAI afhandelt, dus de API -sleutel wordt nooit blootgesteld aan de client. [3]
3. Gebruik een gateway -service zoals Zuplo die kan fungeren als een proxy, het veilig opslaan van uw API -sleutel en het toevoegen van de nodige autorisatiekoppen voordat het verzoek naar OpenAI wordt doorgestuurd. [4]
4. Beperk de machtigingen van de API -sleutel tot alleen de nodige eindpunten, in plaats van een onbeperkte sleutel te gebruiken. [2]
5. Draai regelmatig de API -toets en werk bij elke services bij met behulp van de oude sleutel. [3]
Samenvattend is de aanbevolen aanpak om een tokenserver of middleware -API te gebruiken om de OpenAI -API -sleutel veilig te beheren, in plaats van deze rechtstreeks aan clienttoepassingen bloot te stellen. Dit biedt een extra beveiligingslaag en controle over wie toegang heeft tot de API. [1] [3] [4]
Citaten:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-Keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185