Sur la base des résultats de la recherche, voici les points clés sur l'utilisation des clés API OpenAI avec des serveurs de jetons pour une meilleure sécurité :
Les principaux problèmes de sécurité concernant les clés API OpenAI sont que si la clé est exposée, elle peut être utilisée par n'importe qui pour accéder à votre compte OpenAI et entraîner des frais. Pour atténuer ce risque, les résultats de la recherche recommandent plusieurs approches :
1. Utilisez des variables d'environnement ou des services de gestion de secrets comme AWS Secrets Manager, HashiCorp Vault ou CyberArk Conjur pour stocker la clé API en toute sécurité côté serveur, plutôt que de l'intégrer dans le code côté client.[1][3]
2. Implémentez une API middleware sur votre propre serveur qui gère les appels d'API vers OpenAI, afin que la clé API ne soit jamais exposée au client.[3]
3. Utilisez un service de passerelle comme Zuplo qui peut agir comme un proxy, stockant votre clé API en toute sécurité et ajoutant les en-têtes d'autorisation nécessaires avant de transmettre la demande à OpenAI.[4]
4. Limitez les autorisations de la clé API aux seuls points de terminaison nécessaires, plutôt que d'utiliser une clé sans restriction.[2]
5. Faites régulièrement pivoter la clé API et mettez à jour tous les services utilisant l'ancienne clé.[3]
En résumé, l'approche recommandée consiste à utiliser un serveur de jetons ou une API middleware pour gérer la clé API OpenAI en toute sécurité, plutôt que de l'exposer directement aux applications clientes. Cela fournit une couche supplémentaire de sécurité et de contrôle sur qui peut accéder à l'API.[1][3][4]
Citations :[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185