Baserat på sökresultaten är här de viktigaste punkterna på att använda OpenAI API -nycklar med tokenservrar för bättre säkerhet:
De huvudsakliga säkerhetsproblemen kring OpenAI API -nycklar är att om nyckeln är exponerad kan den användas av vem som helst för att få åtkomst till ditt OpenAI -konto och medföra avgifter. För att mildra denna risk rekommenderar sökresultaten flera tillvägagångssätt:
1. Använd miljövariabler eller hemliga hanteringstjänster som AWS Secrets Manager, Hashicorp Vault eller Cyberark Conurur för att lagra API-nyckeln säkert på serversidan, snarare än att inbäddas i klientsidan. [1] [3]
2. Implementera ett mellanprogram API på din egen server som hanterar API -samtal till OpenAI, så API -nyckeln utsätts aldrig för klienten. [3]
3. Använd en gateway -tjänst som Zuplo som kan fungera som en proxy, lagra din API -nyckel säkert och lägga till nödvändiga auktorisationsrubriker innan du vidarebefordrar begäran till OpenAI. [4]
4. Begränsa API -nyckelens behörigheter till endast nödvändiga slutpunkter, snarare än att använda en obegränsad nyckel. [2]
5. Regelbundet rotera API -nyckeln och uppdatera alla tjänster med den gamla nyckeln. [3]
Så samtidigt är det rekommenderade tillvägagångssättet att använda en Token Server eller Middleware API för att hantera OpenAI API -nyckeln säkert, snarare än att exponera den direkt för klientapplikationer. Detta ger ett ytterligare lager av säkerhet och kontroll över vem som kan komma åt API. [1] [3] [4]
Citeringar:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-ey-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api- keys
]