Na podstawie wyników wyszukiwania oto kluczowe punkty korzystania z klawiszy API Openai z serwerami tokenów dla lepszego bezpieczeństwa:
Główne obawy dotyczące bezpieczeństwa dotyczące klawiszy API OpenAI są takie, że jeśli klucz zostanie ujawniony, może być używany przez każdego, aby uzyskać dostęp do konta OpenAI i ponieść opłaty. Aby ograniczyć to ryzyko, wyniki wyszukiwania zalecają kilka podejść:
1. Użyj zmiennych środowiskowych lub tajnych usług zarządzania, takich jak AWS Secrets Manager, Hashicorp Vault lub Cyberark Connuer do bezpiecznego przechowywania klucza API po stronie serwera, zamiast osadzania go w kodzie po stronie klienta. [1] [3]
2. Wdrożyć interfejs API oprogramowania pośredniego na własnym serwerze, który obsługuje wywołania interfejsu API do OpenAI, więc klucz API nigdy nie jest narażony na klienta. [3]
3. Użyj usługi bramy, takiej jak Zuplo, która może działać jako proxy, bezpiecznie przechowując klucz API i dodając niezbędne nagłówki autoryzacji przed przekazaniem żądania do Openai. [4]
4. Ogranicz uprawnienia klucza API do tylko niezbędnych punktów końcowych, a nie używając nieograniczonego klucza. [2]
5. Regularnie obracaj klawisz API i aktualizuj dowolne usługi za pomocą starego klucza. [3]
Podsumowując, zalecanym podejściem jest użycie serwera tokenu lub interfejsu Middleware API do bezpiecznego zarządzania kluczem API Openai, zamiast wystawiać go bezpośrednio na aplikacje klientów. Zapewnia to dodatkową warstwę bezpieczeństwa i kontroli nad tym, kto może uzyskać dostęp do interfejsu API. [1] [3] [4]
Cytaty:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-ring-your-own-key-usage/161185