Kan jeg bruke Openai API -nøkler med token -servere for bedre sikkerhet

De viktigste sikkerhetsproblemene rundt Openai API -nøkler er at hvis nøkkelen blir utsatt, kan den brukes av hvem som helst til å få tilgang til Openai -kontoen din og pådra deg kostnader. For å dempe denne risikoen anbefaler søkeresultatene flere tilnærminger:

1. Bruk miljøvariabler eller Secret Management Services som AWS Secrets Manager, Hashicorp Vault eller Cyberark Conjur for å lagre API-nøkkelen sikkert på serversiden, i stedet for å legge den inn i klientsiden. [1] [3]

2. Implementere et mellomvare -API på din egen server som håndterer API -ringer til Openai, så API -tasten blir aldri utsatt for klienten. [3]

3. Bruk en gateway -tjeneste som Zuplo som kan fungere som en fullmakt, lagre API -tasten din sikkert og legge til de nødvendige autorisasjonsoverskriftene før du videresender forespørselen til Openai. [4]

4. Begrens tillatelsene til API -nøkkelen til bare de nødvendige sluttpunktene, i stedet for å bruke en ubegrenset nøkkel. [2]

5. Roter regelmessig API -tasten og oppdater alle tjenester ved å bruke den gamle nøkkelen. [3]

Så oppsummert er den anbefalte tilnærmingen å bruke en token -server eller mellomvare -API for å administrere Openai API -tasten sikkert, i stedet for å utsette den direkte for klientapplikasjoner. Dette gir et ekstra lag med sikkerhet og kontroll over hvem som kan få tilgang til API. [1] [3] [4]