На основі результатів пошуку, ось ключові моменти використання клавіш API OpenAI з серверами Token для кращої безпеки:
Основні проблеми безпеки навколо клавіш API OpenAI полягають у тому, що якщо ключ піддається впливу, він може бути використаний будь -ким для доступу до вашого облікового запису OpenAI та стягнення зборів. Для зменшення цього ризику результати пошуку рекомендують кілька підходів:
1. Використовуйте змінні навколишнього середовища або секретні служби управління, такі як Secrets Manager, Hashicorp Vault або Cyberark CongruR для надійно зберігання ключа API на стороні сервера, а не вставляти його в код клієнта. [1] [3]
2. Реалізуйте API середнього програмного забезпечення на власному сервері, який обробляє дзвінки API до OpenAI, тому ключ API ніколи не піддається клієнту. [3]
3. Використовуйте таку послугу шлюзу, як Zuplo, який може діяти як проксі, надійно зберігаючи ключ API та додавання необхідних заголовків авторизації перед тим, як пересилати запит до OpenAI. [4]
4. Обмежте дозволи ключа API лише необхідними кінцевими точками, а не використовувати необмежений ключ. [2]
5. Регулярно обертайте ключ API та оновлюйте будь -які послуги за допомогою старого ключа. [3]
Отже, підсумовуючи, рекомендований підхід полягає в тому, щоб використовувати API Token або API середнього програмного забезпечення для надійно ключовим ключем API OpenAI, а не піддавати його безпосередньо на клієнтські програми. Це забезпечує додатковий рівень безпеки та контролю над тим, хто може отримати доступ до API. [1] [3] [4]
Цитати:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implenation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-ally-this-bring-your-own-key-usage/161185