Baserat på sökresultaten, här är nyckelpunkterna för att använda OpenAI API-nycklar med tokenservrar för bättre säkerhet:
De största säkerhetsproblemen kring OpenAI API-nycklar är att om nyckeln är exponerad kan den användas av vem som helst för att komma åt ditt OpenAI-konto och ådra sig avgifter. För att minska denna risk rekommenderar sökresultaten flera tillvägagångssätt:
1. Använd miljövariabler eller hemliga hanteringstjänster som AWS Secrets Manager, HashiCorp Vault eller CyberArk Conjur för att lagra API-nyckeln säkert på serversidan, istället för att bädda in den i kod på klientsidan.[1][3]
2. Implementera ett mellanvaru-API på din egen server som hanterar API-anropen till OpenAI, så att API-nyckeln aldrig exponeras för klienten.[3]
3. Använd en gatewaytjänst som Zuplo som kan fungera som en proxy, lagra din API-nyckel säkert och lägga till nödvändiga auktoriseringsrubriker innan du vidarebefordrar begäran till OpenAI.[4]
4. Begränsa behörigheterna för API-nyckeln till endast de nödvändiga slutpunkterna, istället för att använda en obegränsad nyckel.[2]
5. Rotera regelbundet API-nyckeln och uppdatera alla tjänster med den gamla nyckeln.[3]
Så sammanfattningsvis är det rekommenderade tillvägagångssättet att använda en token-server eller middleware-API för att hantera OpenAI API-nyckeln säkert, snarare än att exponera den direkt för klientapplikationer. Detta ger ett extra lager av säkerhet och kontroll över vem som kan komma åt API:et.[1][3][4]
Citat:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185