- ¿Debo ocultar mi llave de API??
- ¿Cómo protejo mis claves API??
- ¿Qué pasa si se expone una clave API??
- ¿Alguien puede robar mi llave de API??
¿Debo ocultar mi llave de API??
¿Necesito ocultar mis llaves de API?? Las claves secretas de API nunca deben colocarse en un código del lado del cliente o se deben ocultar. Sin embargo, las claves API de solo lectura no representarán ningún riesgo si las pega en su código JavaScript que se comprometerá en su navegador.
¿Cómo protejo mis claves API??
Si almacena las claves API o cualquier otra información privada en los archivos, mantenga los archivos fuera del árbol de origen de su aplicación para mantener sus claves fuera de su sistema de control de código fuente. Esto es particularmente importante si utiliza un sistema de gestión de código fuente público, como GitHub.
¿Qué pasa si se expone una clave API??
Las claves API expuestas se pueden usar tanto para explotar vulnerabilidades o errores en la codificación de la API en sí y a través del abuso de la API (donde se accede o se usa a la API de una manera que no se pretendía). Los ataques de ejemplo incluyen adquisición de cuentas, creación automatizada de cuentas, raspado de datos o ataques DDoS.
¿Alguien puede robar mi llave de API??
Peor aún, los delincuentes pueden eludir fácilmente la configuración de "solo comercio" en las claves API y robar dinero de las cuentas de los comerciantes incluso sin obtener sus credenciales de cuenta o derechos de retiro.