Berdasarkan hasil pencarian, berikut adalah poin -poin utama untuk menggunakan tombol API OpenAI dengan server token untuk keamanan yang lebih baik:
Kekhawatiran keamanan utama di sekitar tombol API OpenAI adalah bahwa jika kunci diekspos, itu dapat digunakan oleh siapa saja untuk mengakses akun OpenAI Anda dan dikenakan biaya. Untuk mengurangi risiko ini, hasil pencarian merekomendasikan beberapa pendekatan:
1. Gunakan variabel lingkungan atau layanan manajemen rahasia seperti AWS Secrets Manager, Hashicorp Vault, atau Cyberark Conjur untuk menyimpan kunci API dengan aman di sisi server, daripada menanamkannya dalam kode sisi klien. [1] [3]
2. Menerapkan API Middleware di server Anda sendiri yang menangani panggilan API ke OpenAi, sehingga kunci API tidak pernah terpapar dengan klien. [3]
3. Gunakan layanan gateway seperti Zuplo yang dapat bertindak sebagai proxy, menyimpan kunci API Anda dengan aman dan menambahkan header otorisasi yang diperlukan sebelum meneruskan permintaan ke openai. [4]
4. Batasi izin kunci API hanya pada titik akhir yang diperlukan, daripada menggunakan kunci yang tidak dibatasi. [2]
5. Secara teratur putar kunci API dan perbarui layanan apa pun menggunakan kunci lama. [3]
Jadi secara ringkas, pendekatan yang disarankan adalah menggunakan server token atau API middleware untuk mengelola kunci API OpenAI dengan aman, daripada mengeksposnya langsung ke aplikasi klien. Ini memberikan lapisan keamanan dan kontrol tambahan atas siapa yang dapat mengakses API. [1] [3] [4]
Kutipan:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-eeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185