Na základe výsledkov vyhľadávania uvádzame kľúčové body používania kľúčov API OpenAI s tokenovými servermi pre lepšiu bezpečnosť:
Hlavné bezpečnostné obavy týkajúce sa kľúčov OpenAI API spočívajú v tom, že ak je kľúč odhalený, môže ho použiť ktokoľvek na prístup k vášmu účtu OpenAI a účtovať poplatky. Na zmiernenie tohto rizika odporúčajú výsledky vyhľadávania niekoľko prístupov:
1. Použite premenné prostredia alebo služby správy tajných informácií, ako je AWS Secrets Manager, HashiCorp Vault alebo CyberArk Conjur na bezpečné uloženie kľúča API na strane servera namiesto jeho vkladania do kódu na strane klienta.[1][3]
2. Implementujte middleware API na svojom vlastnom serveri, ktorý spracováva volania API do OpenAI, takže kľúč API nie je klientovi nikdy vystavený.[3]
3. Použite službu brány, ako je Zuplo, ktorá môže fungovať ako proxy, bezpečne uložiť váš kľúč API a pridať potrebné autorizačné hlavičky pred odoslaním požiadavky do OpenAI.[4]
4. Namiesto použitia neobmedzeného kľúča obmedzte povolenia kľúča API iba na nevyhnutné koncové body.[2]
5. Pravidelne otáčajte kľúč API a aktualizujte všetky služby pomocou starého kľúča.[3]
Stručne povedané, odporúčaným prístupom je použiť tokenový server alebo rozhranie API na bezpečnú správu kľúča API OpenAI, namiesto toho, aby ste ho priamo vystavovali klientskym aplikáciám. To poskytuje ďalšiu vrstvu zabezpečenia a kontrolu nad tým, kto môže pristupovať k API.[1][3][4]
Citácie:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185