Основываясь на результатах поиска, вот ключевые моменты по использованию ключей OpenAI API с серверами токенов для повышения безопасности:
Основные проблемы безопасности, связанные с ключами OpenAI API, заключаются в том, что, если ключ раскрыт, кто угодно может использовать его для доступа к вашей учетной записи OpenAI и взимать плату. Чтобы снизить этот риск, результаты поиска рекомендуют несколько подходов:
1. Используйте переменные среды или службы управления секретами, такие как AWS Secrets Manager, HashiCorp Vault или CyberArk Conjur, чтобы безопасно хранить ключ API на стороне сервера, а не встраивать его в код на стороне клиента.[1][3]
2. Внедрите API промежуточного программного обеспечения на своем собственном сервере, который обрабатывает вызовы API к OpenAI, чтобы ключ API никогда не был доступен клиенту.[3]
3. Используйте службу шлюза, такую как Zuplo, которая может действовать как прокси, надежно сохраняя ваш ключ API и добавляя необходимые заголовки авторизации перед пересылкой запроса в OpenAI.[4]
4. Ограничьте разрешения ключа API только необходимыми конечными точками, а не используйте неограниченный ключ.[2]
5. Регулярно меняйте ключ API и обновляйте все службы, используя старый ключ.[3]
Таким образом, рекомендуемый подход — использовать сервер токенов или API промежуточного программного обеспечения для безопасного управления ключом API OpenAI, а не предоставлять его непосредственно клиентским приложениям. Это обеспечивает дополнительный уровень безопасности и контроля над тем, кто может получить доступ к API.[1][3][4]
Цитаты:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185