In base ai risultati della ricerca, ecco i punti chiave sull'utilizzo delle chiavi API OpenAI con server token per una maggiore sicurezza:
Le principali preoccupazioni per la sicurezza relative alle chiavi API OpenAI sono che, se la chiave viene esposta, può essere utilizzata da chiunque per accedere al tuo account OpenAI e comportare addebiti. Per mitigare questo rischio, i risultati della ricerca consigliano diversi approcci:
1. Utilizza variabili di ambiente o servizi di gestione dei segreti come AWS Secrets Manager, HashiCorp Vault o CyberArk Conjur per archiviare la chiave API in modo sicuro sul lato server, anziché incorporarla nel codice lato client.[1][3]
2. Implementa un'API middleware sul tuo server che gestisce le chiamate API a OpenAI, in modo che la chiave API non venga mai esposta al client.[3]
3. Utilizza un servizio gateway come Zuplo che può fungere da proxy, archiviando la chiave API in modo sicuro e aggiungendo le intestazioni di autorizzazione necessarie prima di inoltrare la richiesta a OpenAI.[4]
4. Limitare le autorizzazioni della chiave API solo agli endpoint necessari, anziché utilizzare una chiave senza restrizioni.[2]
5. Ruota regolarmente la chiave API e aggiorna tutti i servizi utilizzando la vecchia chiave.[3]
Quindi, in sintesi, l'approccio consigliato è quello di utilizzare un server token o un'API middleware per gestire la chiave API OpenAI in modo sicuro, anziché esporla direttamente alle applicazioni client. Ciò fornisce un ulteriore livello di sicurezza e controllo su chi può accedere all'API.[1][3][4]
Citazioni:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implantation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185