Berdasarkan hasil pencarian, berikut adalah poin penting dalam menggunakan kunci API OpenAI dengan server token untuk keamanan yang lebih baik:
Masalah keamanan utama seputar kunci API OpenAI adalah jika kunci tersebut terekspos, maka dapat digunakan oleh siapa saja untuk mengakses akun OpenAI Anda dan dikenakan biaya. Untuk memitigasi risiko ini, hasil penelusuran merekomendasikan beberapa pendekatan:
1. Gunakan variabel lingkungan atau layanan manajemen rahasia seperti AWS Secrets Manager, HashiCorp Vault, atau CyberArk Conjur untuk menyimpan kunci API dengan aman di sisi server, daripada menyematkannya dalam kode sisi klien.[1][3]
2. Terapkan API middleware di server Anda sendiri yang menangani panggilan API ke OpenAI, sehingga kunci API tidak pernah diekspos ke klien.[3]
3. Gunakan layanan gateway seperti Zuplo yang dapat bertindak sebagai proxy, menyimpan kunci API Anda dengan aman dan menambahkan header otorisasi yang diperlukan sebelum meneruskan permintaan ke OpenAI.[4]
4. Batasi izin kunci API hanya pada titik akhir yang diperlukan, daripada menggunakan kunci yang tidak dibatasi.[2]
5. Rotasi kunci API secara teratur dan perbarui layanan apa pun menggunakan kunci lama.[3]
Singkatnya, pendekatan yang disarankan adalah menggunakan server token atau API middleware untuk mengelola kunci API OpenAI dengan aman, daripada memaparkannya langsung ke aplikasi klien. Hal ini memberikan lapisan keamanan tambahan dan kontrol terhadap siapa yang dapat mengakses API.[1][3][4]
Kutipan:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implementation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185