Na podstawie wyników wyszukiwania oto najważniejsze punkty dotyczące używania kluczy API OpenAI z serwerami tokenów w celu zwiększenia bezpieczeństwa:
Główne obawy związane z bezpieczeństwem kluczy API OpenAI polegają na tym, że w przypadku ujawnienia klucza każdy może go użyć, aby uzyskać dostęp do konta OpenAI i ponieść opłaty. Aby zminimalizować to ryzyko, wyniki wyszukiwania zalecają kilka podejść:
1. Użyj zmiennych środowiskowych lub usług zarządzania sekretami, takich jak AWS Secrets Manager, HashiCorp Vault lub CyberArk Conjur, aby bezpiecznie przechowywać klucz API po stronie serwera, zamiast osadzać go w kodzie po stronie klienta.[1] [3]
2. Zaimplementuj API oprogramowania pośredniego na własnym serwerze, które obsługuje wywołania API do OpenAI, tak aby klucz API nigdy nie był ujawniany klientowi.[3]
3. Skorzystaj z usługi bramy, takiej jak Zuplo, która może działać jako serwer proxy, bezpiecznie przechowując Twój klucz API i dodając niezbędne nagłówki autoryzacyjne przed przekazaniem żądania do OpenAI.[4]
4. Ogranicz uprawnienia klucza API tylko do niezbędnych punktów końcowych, zamiast używać klucza nieograniczonego.[2]
5. Regularnie zmieniaj klucz API i aktualizuj wszelkie usługi przy użyciu starego klucza.[3]
Podsumowując, zalecanym podejściem jest użycie serwera tokenów lub interfejsu API oprogramowania pośredniego do bezpiecznego zarządzania kluczem API OpenAI, zamiast udostępniania go bezpośrednio aplikacjom klienckim. Zapewnia to dodatkową warstwę bezpieczeństwa i kontrolę nad tym, kto może uzyskać dostęp do interfejsu API.[1] [3] [4]
Cytaty:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185