Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Posso usar as teclas da API OpenAI com servidores token para obter uma melhor segurança


Posso usar as teclas da API OpenAI com servidores token para obter uma melhor segurança


Com base nos resultados da pesquisa, aqui estão os principais pontos do uso de teclas de API OpenAI com servidores token para obter melhor segurança:

As principais preocupações de segurança sobre as chaves da API OpenAI são que, se a chave for exposta, ela poderá ser usada por qualquer pessoa para acessar sua conta OpenAI e incorrer em cobranças. Para mitigar esse risco, os resultados da pesquisa recomendam várias abordagens:

1. Use variáveis ​​de ambiente ou serviços de gerenciamento secreto como o AWS Secrets Manager, Hashicorp Vault ou Cyberark Conjur para armazenar a chave da API com segurança no lado do servidor, em vez de incorporá-lo no código do lado do cliente. [1] [3]

2. Implemente uma API de middleware em seu próprio servidor que lida com as chamadas da API para o OpenAI, para que a chave da API nunca seja exposta ao cliente. [3]

3. Use um serviço de gateway como o Zuplo que pode atuar como proxy, armazenando sua chave da API com segurança e adicionando os cabeçalhos de autorização necessários antes de encaminhar a solicitação para o OpenAI. [4]

4. Restrinja as permissões da chave da API apenas para os pontos de extremidade necessários, em vez de usar uma chave irrestrita. [2]

5. Gire regularmente a chave da API e atualize todos os serviços usando a chave antiga. [3]

Portanto, em resumo, a abordagem recomendada é usar uma API de servidor de token ou middleware para gerenciar a chave da API OpenAI com segurança, em vez de expor -a diretamente aos aplicativos do cliente. Isso fornece uma camada adicional de segurança e controle sobre quem pode acessar a API. [1] [3] [4]

Citações:
[1] https://www.gitguardian.com/remediation/openai-api-Key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185