A keresési eredmények alapján íme, az OpenAI API-kulcsok tokenszerverekkel való használatának kulcsfontosságú pontjai a jobb biztonság érdekében:
Az OpenAI API-kulcsokkal kapcsolatos fő biztonsági aggályok az, hogy ha a kulcs nyilvánosságra kerül, bárki használhatja OpenAI-fiókjához, és költségekkel járhat. Ennek a kockázatnak a csökkentése érdekében a keresési eredmények több megközelítést javasolnak:
1. Használjon környezeti változókat vagy titkos kezelési szolgáltatásokat, például az AWS Secrets Managert, a HashiCorp Vaultot vagy a CyberArk Conjur-t, hogy biztonságosan tárolja az API-kulcsot a szerver oldalon, ahelyett, hogy beágyazná az ügyféloldali kódba.[1][3]
2. Valósítson meg egy köztes szoftver API-t a saját szerverén, amely kezeli az OpenAI API-hívásait, így az API-kulcs soha nem lesz elérhető az ügyfél számára.[3]
3. Használjon átjárószolgáltatást, például a Zuplo-t, amely proxyként működik, biztonságosan tárolja az API-kulcsot, és hozzáadja a szükséges engedélyezési fejléceket, mielőtt továbbítja a kérést az OpenAI-nak.[4]
4. Az API-kulcs engedélyeit csak a szükséges végpontokra korlátozza, ahelyett, hogy korlátlan kulcsot használna.[2]
5. Rendszeresen forgassa el az API-kulcsot, és frissítse a szolgáltatásokat a régi kulcs használatával.[3]
Összefoglalva tehát az ajánlott megközelítés egy tokenkiszolgáló vagy köztesszoftver API használata az OpenAI API-kulcs biztonságos kezeléséhez, ahelyett, hogy közvetlenül az ügyfélalkalmazásoknak tenné ki. Ez további biztonsági réteget biztosít, és szabályozza, hogy ki férhet hozzá az API-hoz.[1][3][4]
Idézetek:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185