Gebaseerd op de zoekresultaten zijn hier de belangrijkste punten voor het gebruik van OpenAI API-sleutels met tokenservers voor betere beveiliging:
De belangrijkste beveiligingsproblemen rond OpenAI API-sleutels zijn dat als de sleutel openbaar wordt gemaakt, deze door iedereen kan worden gebruikt om toegang te krijgen tot uw OpenAI-account en dat er kosten aan verbonden zijn. Om dit risico te beperken, bevelen de zoekresultaten verschillende benaderingen aan:
1. Gebruik omgevingsvariabelen of geheime beheerdiensten zoals AWS Secrets Manager, HashiCorp Vault of CyberArk Conjur om de API-sleutel veilig op de server op te slaan, in plaats van deze in te sluiten in code aan de clientzijde.
2. Implementeer een middleware-API op uw eigen server die de API-aanroepen naar OpenAI afhandelt, zodat de API-sleutel nooit zichtbaar is voor de client.[3]
3. Gebruik een gatewayservice zoals Zuplo die als proxy kan fungeren, uw API-sleutel veilig opslaat en de benodigde autorisatieheaders toevoegt voordat u het verzoek doorstuurt naar OpenAI.[4]
4. Beperk de rechten van de API-sleutel tot alleen de noodzakelijke eindpunten, in plaats van een onbeperkte sleutel te gebruiken.[2]
5. Roteer regelmatig de API-sleutel en update eventuele services met de oude sleutel.[3]
Samenvattend is de aanbevolen aanpak het gebruik van een tokenserver of middleware-API om de OpenAI API-sleutel veilig te beheren, in plaats van deze rechtstreeks bloot te stellen aan clientapplicaties. Dit biedt een extra beveiligingslaag en controle over wie toegang heeft tot de API.[1][3][4]
Citaties:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185