Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Μπορώ να χρησιμοποιήσω τα πλήκτρα API OpenAI με διακομιστές Token για καλύτερη ασφάλεια


Μπορώ να χρησιμοποιήσω τα πλήκτρα API OpenAI με διακομιστές Token για καλύτερη ασφάλεια


Με βάση τα αποτελέσματα αναζήτησης, εδώ είναι τα βασικά σημεία για τη χρήση των πλήκτρων API OpenAI με διακομιστές Token για καλύτερη ασφάλεια:

Οι κύριες ανησυχίες σχετικά με την ασφάλεια γύρω από τα κλειδιά API OpenAI είναι ότι εάν το κλειδί είναι εκτεθειμένο, μπορεί να χρησιμοποιηθεί από οποιονδήποτε για πρόσβαση στον λογαριασμό σας OpenAI και να επιβαρυνθεί. Για να μετριάσει αυτόν τον κίνδυνο, τα αποτελέσματα αναζήτησης συνιστούν αρκετές προσεγγίσεις:

1. Χρησιμοποιήστε τις μεταβλητές περιβάλλοντος ή τις μυστικές υπηρεσίες διαχείρισης όπως το AWS Secrets Manager, το Hashicorp Vault ή το Cyberark Conjur για να αποθηκεύσετε το API Key με ασφάλεια στην πλευρά του διακομιστή, αντί να την ενσωματώσετε στον κώδικα από την πλευρά του πελάτη [1] [3]

2. Εφαρμόστε ένα API Middleware στον δικό σας διακομιστή που χειρίζεται τις κλήσεις API στο OpenAI, οπότε το κλειδί API δεν εκτίθεται ποτέ στον πελάτη. [3]

3. Χρησιμοποιήστε μια υπηρεσία πύλης όπως το ZUPLO που μπορεί να λειτουργήσει ως πληρεξούσιο, αποθηκεύοντας με ασφάλεια το κλειδί API και προσθέτοντας τις απαραίτητες κεφαλίδες εξουσιοδότησης πριν προωθήσετε το αίτημα στο OpenAI. [4]

4. Περιορίστε τα δικαιώματα του κλειδιού API μόνο στα απαραίτητα τελικά σημεία, αντί να χρησιμοποιήσετε ένα απεριόριστο κλειδί. [2]

5. Περιστρέψτε τακτικά το πλήκτρο API και ενημερώστε τις υπηρεσίες χρησιμοποιώντας το παλιό κλειδί [3]

Επομένως, συνοπτικά, η συνιστώμενη προσέγγιση είναι να χρησιμοποιήσετε ένα διακομιστή διακομιστή ή ένα API middleware για να διαχειριστείτε με ασφάλεια το API OpenAI, αντί να το εκθέσετε απευθείας στις εφαρμογές πελατών. Αυτό παρέχει ένα πρόσθετο επίπεδο ασφάλειας και ελέγχου του ποιος μπορεί να έχει πρόσβαση στο API. [1] [3] [4]

Αναφορές:
[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185