Com base nos resultados da pesquisa, aqui estão os pontos principais sobre o uso de chaves de API OpenAI com servidores de token para melhor segurança:
As principais preocupações de segurança em torno das chaves da API OpenAI são que, se a chave for exposta, ela poderá ser usada por qualquer pessoa para acessar sua conta OpenAI e incorrer em cobranças. Para mitigar este risco, os resultados da pesquisa recomendam várias abordagens:
1. Use variáveis de ambiente ou serviços de gerenciamento de segredos como AWS Secrets Manager, HashiCorp Vault ou CyberArk Conjur para armazenar a chave de API com segurança no lado do servidor, em vez de incorporá-la no código do lado do cliente.[1][3]
2. Implemente uma API de middleware em seu próprio servidor que lide com as chamadas de API para OpenAI, para que a chave de API nunca seja exposta ao cliente.[3]
3. Use um serviço de gateway como o Zuplo que pode atuar como proxy, armazenando sua chave de API com segurança e adicionando os cabeçalhos de autorização necessários antes de encaminhar a solicitação para OpenAI.[4]
4. Restrinja as permissões da chave de API apenas aos endpoints necessários, em vez de usar uma chave irrestrita.[2]
5. Alterne regularmente a chave de API e atualize quaisquer serviços usando a chave antiga.[3]
Portanto, em resumo, a abordagem recomendada é usar um servidor de token ou API de middleware para gerenciar a chave da API OpenAI com segurança, em vez de expô-la diretamente aos aplicativos clientes. Isso fornece uma camada adicional de segurança e controle sobre quem pode acessar a API.[1][3][4]
Citações:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185