คีย์ JWT และ API ต่างกันอย่างไร
ข้อแตกต่างที่สำคัญระหว่างการตรวจสอบสิทธิ์คีย์ API และการตรวจสอบสิทธิ์โทเค็น JWT คือโทเค็น JWT อยู่ในตัวเอง - ข้อมูลที่โทเค็นยืนยันอยู่ในโทเค็น ในขณะที่คีย์ API ข้อมูลที่ถูกยืนยันจะถูกจัดเก็บไว้ในระบบภายนอก.
ข้อแตกต่างที่สำคัญระหว่างการตรวจสอบสิทธิ์คีย์ API และการตรวจสอบสิทธิ์โทเค็น JWT คือโทเค็น JWT อยู่ในตัวเอง - ข้อมูลที่โทเค็นยืนยันอยู่ในโทเค็น ในขณะที่คีย์ API ข้อมูลที่ถูกยืนยันจะถูกจัดเก็บไว้ในระบบภายนอก.
ความแตกต่างหลักระหว่างสองสิ่งนี้คือ:คีย์ API ระบุโปรเจ็กต์การโทร — แอปพลิเคชันหรือไซต์ — ทำการเรียก API โทเค็นการตรวจสอบสิทธิ์ระบุผู้ใช้ — บุคคล — ที่ใช้แอปหรือไซต์.
คีย์ API สามารถระบุโครงการไปยัง API และระบุทรัพยากรที่โครงการสามารถเข้าถึง อย่างไรก็ตาม,ผู้เชี่ยวชาญไม่พิจารณาว่าคีย์ API มีความปลอดภัยเพียงพอในตัวเอง. ด้วยเหตุผลบางประการ: คีย์ API ไม่สามารถรับรองความถูกต้องของผู้ใช้แต่ละรายที่ส่งคำขอได้ เฉพาะโครงการหรือแอปพลิเคชันเท่านั้นที่ส่งคำขอ
Bearer Token ใช้เพื่อวัตถุประสงค์ในการตรวจสอบ ในขณะที่ API Key ใช้เพื่อวัตถุประสงค์ในการอนุญาต. Bearer Token รับรองความถูกต้องของไคลเอนต์และให้สิทธิ์การเข้าถึงทรัพยากร API ในขณะที่คีย์ API ให้สิทธิ์การเข้าถึงไปยังจุดสิ้นสุดหรือการดำเนินการเฉพาะ
ในการตรวจสอบสิทธิ์การเรียก Iterable API ด้วยคีย์ API ที่เปิดใช้งาน JWT ให้ตั้งค่าส่วนหัว HTTP Authorization (Bearer schema) ด้วย JWT ที่ถูกต้องและไม่หมดอายุเป็นค่า. ที่อยู่อีเมลหรือ ID ผู้ใช้ที่ใช้ในคำขอควรตรงกับที่พบใน JWT
JWT เป็นเพียงรูปแบบโทเค็น คุกกี้เป็นกลไกการจัดการสถานะ HTTPจริงหรือ. ตามที่แสดง เว็บคุกกี้สามารถมี JWT และสามารถจัดเก็บไว้ในที่จัดเก็บคุกกี้ของเบราว์เซอร์ของคุณ
ความแตกต่างก็คือโทเค็น API รวมบัญชีผู้ใช้ไว้ในโทเค็นการเข้าถึงในขณะที่แอป OAuth ดำเนินการให้สิทธิ์โดยไม่มีบัญชีผู้ใช้. เมื่อคุณเลือกใช้โทเค็น API หรือแอป OAuth เพื่อทำการเรียก API คุณต้องพิจารณาข้อกำหนดเฉพาะของบริการ API ที่เกี่ยวข้องกับการโต้ตอบ
ในการตรวจสอบสิทธิ์ผู้ใช้ แอปพลิเคชันไคลเอนต์ต้องส่ง JSON Web Token (JWT) ในส่วนหัวการให้สิทธิ์ของคำขอ HTTP ไปยัง API แบ็กเอนด์ของคุณ. API Gateway จะตรวจสอบความถูกต้องของโทเค็นในนามของ API ของคุณ คุณจึงไม่ต้องเพิ่มโค้ดใดๆ ใน API เพื่อดำเนินการตรวจสอบสิทธิ์
คีย์ API เป็นโทเค็นที่ไคลเอนต์ให้เมื่อทำการเรียก API สามารถส่งคีย์ในสตริงข้อความค้นหา:รับ / อะไรซักอย่าง? api_key=abcdef12345.
ฉันสามารถใช้ API โดยไม่มีรหัส API ได้หรือไม่
API ส่วนใหญ่ต้องการการเข้าถึงผ่านคีย์ API(คล้ายกับรหัสผ่าน) หรือวิธีการพิสูจน์ตัวตนและการอนุญาตอื่นๆ คีย์คือวิธีปกป้องผู้ให้บริการจากผู้ใช้ที่ประสงค์ร้าย และช่วยให้พวกเขาจัดการ API ได้ดีขึ้น
ค่าคีย์ต้องอยู่ระหว่าง 30 ถึง128 ตัวอักษร. ค่าชื่อต้องไม่เกิน 1024 อักขระ
คุณสามารถใช้คีย์ API เดียวกันสำหรับหลายเว็บไซต์หรือคุณสามารถสร้างคีย์ใหม่สำหรับแต่ละไซต์ คุณสามารถสร้างคีย์ API ที่ไม่ซ้ำกันได้สูงสุด 100 คีย์ การใช้คีย์ API ที่แตกต่างกันสำหรับแต่ละไซต์ทำให้คุณสามารถปิดใช้งานคีย์ได้ หากคุณไม่ได้ใช้คีย์ดังกล่าวบนเว็บไซต์ที่ใช้งานอยู่อีกต่อไป หรือหยุดสนับสนุนโครงการ
ในสาระสำคัญ,JSON Web Token (JWT) เป็นโทเค็นผู้ถือ. เป็นการดำเนินการเฉพาะที่กำหนดและเป็นมาตรฐาน โดยเฉพาะอย่างยิ่ง JWT ใช้การเข้ารหัสเพื่อเข้ารหัสการประทับเวลาและพารามิเตอร์อื่น ๆ
JWT ที่ลงนามนั้นขึ้นอยู่กับอัลกอริทึมแบบอสมมาตร (อิงตาม RSA)รหัสไคลเอ็นต์/ข้อมูลลับไคลเอ็นต์นั้นเบากว่ามาก ปรับใช้ง่ายกว่ามาก และให้ความสมบูรณ์(ข้อความไม่ได้ถูกบุกรุก). ไม่มีการตรวจสอบลายเซ็น และมีความเป็นไปได้ที่คีย์จะถูกขโมยอยู่เสมอ
โทเค็น JWT เทียบกับโทเค็น oauth:JWT กำหนดรูปแบบโทเค็นในขณะที่ OAuth ตกลงในการกำหนดโปรโตคอลการให้สิทธิ์. JWT นั้นเรียบง่ายและง่ายต่อการเรียนรู้ตั้งแต่ระยะเริ่มต้น ในขณะที่ OAuth นั้นซับซ้อน OAuth ใช้ทั้งที่เก็บข้อมูลฝั่งไคลเอ็นต์และฝั่งเซิร์ฟเวอร์ ในขณะที่ JWT ต้องใช้ที่เก็บข้อมูลฝั่งไคลเอ็นต์เท่านั้น JWT มีขอบเขตและกรณีการใช้งานที่จำกัด
- สร้างรหัสลับ
- สร้าง JWT โดยใช้รหัสลับ
- ส่ง JWT ให้กับลูกค้า
- ลูกค้ารวม JWT ในคำขอที่ตามมา
- เซิร์ฟเวอร์อ่าน JWT จากส่วนหัวของคำขอ
- เซิร์ฟเวอร์ Base64Url ถอดรหัสส่วนหัวและเพย์โหลด
- ขอความยินยอมในการสมัคร ...
- สร้าง JWT ...
- รับโทเค็นการเข้าถึง ...
- รับ URI ฐานของผู้ใช้ของคุณ ...
- ใช้โทเค็นการเข้าถึงเพื่อทำการเรียก API
ไปที่แดชบอร์ด > แอปพลิเคชัน ไปที่มุมมองการตั้งค่า และเปิดการตั้งค่าขั้นสูง ไปที่มุมมอง Certificates ค้นหาฟิลด์ Signed Certificate และคัดลอก Public Key ไปที่เว็บไซต์ JWT.io ค้นหาดรอปดาวน์อัลกอริทึม และเลือก RS256
กายวิภาคของ JWT
รูปที่ 1 แสดงให้เห็นว่า JWT ประกอบด้วยสามส่วน:ส่วนหัว เพย์โหลด และลายเซ็น.
เราสามารถใช้ JWT ใน REST API ได้หรือไม่
ตรวจสอบให้แน่ใจว่าเปิดใช้งานการพิสูจน์ตัวตน JWT สำหรับ REST APIโดยการตั้งค่าของเซิร์ฟเล็ต jwt. รับรองความถูกต้อง เปิดใช้งานคุณสมบัติเป็นจริงใน customer_overrides
ความแตกต่างระหว่างโทเค็นและคุกกี้
ทั้งคู่ใช้สำหรับการตรวจสอบและจัดเตรียมกลไกการคงอยู่สำหรับ HTTP ไร้สัญชาติโทเค็นใช้เพื่อเข้าสู่ระบบโดยอัตโนมัติโดยแจ้งให้เซิร์ฟเวอร์ทราบว่าเป็นใคร. ไม่สามารถแชร์คุกกี้ระหว่างหลายแอปพลิเคชันได้
โทเค็น OAuth: เหมาะสำหรับการเข้าถึงข้อมูลผู้ใช้
OAuth คือคำตอบสำหรับการเข้าถึงข้อมูลผู้ใช้ด้วย API ไม่เหมือนกับคีย์ API OAuth ไม่ต้องการให้ผู้ใช้ไป spelunking ผ่านพอร์ทัลนักพัฒนา อันที่จริง ในกรณีที่ดีที่สุด ผู้ใช้เพียงคลิกปุ่มเพื่ออนุญาตให้แอปพลิเคชันเข้าถึงบัญชีของตน
คีย์ API มีอยู่ 2 ประเภทหลัก: คีย์ API สาธารณะ: โดยปกติแล้วคีย์ API เหล่านี้จะสร้างขึ้นโดยเจ้าของแอปพลิเคชันและเปิดให้นักพัฒนาหรือผู้ใช้เข้าถึงได้ พวกเขาอนุญาตให้นักพัฒนาเข้าถึงข้อมูลสาธารณะหรือคุณลักษณะของแอปพลิเคชัน คีย์ API ส่วนตัว:คีย์ส่วนตัวใช้ในการสื่อสารระหว่างเซิร์ฟเวอร์กับเซิร์ฟเวอร์.
รหัสคีย์ API จะรวมอยู่ในคำขอทั้งหมดเพื่อระบุไคลเอนต์รหัสลับเป็นที่รู้จักเฉพาะกับไคลเอ็นต์และเกตเวย์ API.
ปลอดภัย:โทเค็นทึบไม่มีข้อมูลผู้ใช้ ทำให้ปลอดภัยกว่าโทเค็น JWT ยืดหยุ่น: โทเค็นทึบสามารถปรับแต่งเพื่อเก็บข้อมูลผู้ใช้เพิ่มเติมในเซิร์ฟเวอร์การอนุญาต ซึ่งเซิร์ฟเวอร์ทรัพยากรสามารถเรียกค้นได้เมื่อจำเป็น
คุณสามารถระบุได้โดยอักขระเปิด eyJ ที่ถอดรหัสเป็นอักขระเริ่มต้น{ . หากผู้ใช้ของคุณแสดง JWT ที่เข้ารหัส base64 ในแอปของคุณและไม่ได้อยู่ในรูปแบบ [JSON Header] [เพย์โหลด JSON]. [ลายเซ็น] ไม่ใช่โทเค็น Amazon Cognito ที่ถูกต้องและคุณสามารถละทิ้งได้
JWT เป็นวิธีพิสูจน์ตัวตนที่เชื่อถือได้เนื่องจากมีการเซ็นชื่อแบบดิจิทัลและเป็นความลับโดยใช้อัลกอริทึม HMAC หรือบางครั้งใช้คีย์สาธารณะ/ส่วนตัวโดยใช้ RSA
คีย์ API เป็นตัวระบุเฉพาะที่ตรวจสอบคำขอที่เกี่ยวข้องกับโครงการของคุณสำหรับการใช้งานและการเรียกเก็บเงิน. คุณต้องมีคีย์ API อย่างน้อยหนึ่งรายการที่เชื่อมโยงกับโครงการของคุณ
การลงทะเบียนแอปกับผลิตภัณฑ์ API จะสร้างคีย์ API สำหรับการเข้าถึง API ในผลิตภัณฑ์นั้น สตริงที่มีข้อมูลการให้สิทธิ์ที่แอปฝั่งไคลเอ็นต์ใช้เพื่อเข้าถึงทรัพยากรที่เปิดเผยโดยผลิตภัณฑ์ API คีย์ API ถูกสร้างขึ้นเมื่อแอปที่ลงทะเบียนเชื่อมโยงกับผลิตภัณฑ์ API.
ฉันจะใส่คีย์ API ของฉันไว้ที่ไหน
อย่าเก็บคีย์ API ของคุณโดยตรงในรหัสของคุณ
ให้เก็บคีย์ API และข้อมูลลับของคุณแทนโดยตรงในตัวแปรสภาพแวดล้อมของคุณ. ตัวแปรสภาพแวดล้อมเป็นวัตถุไดนามิกซึ่งมีค่าถูกตั้งค่าภายนอกแอปพลิเคชัน สิ่งนี้จะช่วยให้คุณเข้าถึงได้อย่างง่ายดาย (โดยใช้ os.
การรับรองความถูกต้องของไคลเอ็นต์หรือผู้ใช้กับ API เป็นสิ่งสำคัญ เนื่องจาก API ใช้ไคลเอ็นต์หรือข้อมูลระบุตัวตนของผู้ใช้นั้นในการตัดสินใจว่าจะอนุญาตให้ดำเนินการหรือไม่ การรับรองความถูกต้องของไคลเอ็นต์แตกต่างจากการตรวจสอบผู้ใช้อย่างมาก ลูกค้าเป็นแบบอัตโนมัติดังนั้นการรับรองความถูกต้องในทุกคำขอที่ส่งไปยัง API ไม่ใช่ปัญหา.
- เพิ่มรายการที่มีประเภท: apiKey ในส่วน global securityDefinitions ...
- ระบุว่าคีย์ API จะถูกส่งผ่านใน: header หรือใน: query
- ระบุชื่อสำหรับพารามิเตอร์หรือส่วนหัวนั้น
มีหลายวิธีในการหมดอายุคีย์และความลับของ API ในระบบแบบกระจาย เช่นโดยใช้วันที่หรือเวลาหมดอายุแบบคงที่หรือผันแปร ตลอดจนนโยบายการหมดอายุตามการใช้งานหรือตามเวลา.
วงจรชีวิตของคีย์ API
บริษัทใดก็ตามที่ใช้นโยบายความปลอดภัยที่รอบคอบจำเป็นต้องเปลี่ยนคีย์ API ของตนเป็นประจำ ซึ่งโดยปกติแล้วปีละครั้งหรือเหตุการณ์ด้านความปลอดภัยใดๆ นี่เป็นส่วนหนึ่งของแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดและโดยทั่วไปกำหนดโดยกรอบการควบคุมการปฏิบัติงาน เช่น SOC 2, HIPAA หรือ ISO 27001
คีย์ API ( YourAdminAPIKey )อาจเป็นรหัสผู้ดูแลระบบถาวรที่เปลี่ยนเพียงปีละครั้งเพื่อการบำรุงรักษาที่ง่ายขึ้น
ด้วยการใช้ API ที่เพิ่มขึ้น ธุรกิจต่างพึ่งพา API ในการเชื่อมต่อกับระบบ แอปพลิเคชัน และบริการต่างๆ มากขึ้น อย่างไรก็ตาม การพึ่งพาอาศัยกันที่เพิ่มขึ้นนี้มาพร้อมกับความเสี่ยงที่เพิ่มขึ้นของการรั่วไหลของ API ซึ่งอาจส่งผลให้เกิดสร้างความเสียหายอย่างมากต่อชื่อเสียงของบริษัท ความสูญเสียทางการเงิน และผลกระทบทางกฎหมาย.
ใช้คีย์ API แยกกันสำหรับแต่ละแอป
คุณสามารถสร้างคีย์ API ได้สูงสุด 300 คีย์ต่อโปรเจ็กต์ สำหรับข้อมูลเพิ่มเติม โปรดดูที่การจำกัดคีย์ API แม้ว่าหนึ่งคีย์ API ต่อแอปพลิเคชันจะเหมาะสำหรับวัตถุประสงค์ด้านความปลอดภัยคุณสามารถใช้คีย์จำกัดกับหลายแอปได้ ตราบใดที่แอปเหล่านั้นใช้การจำกัดแอปพลิเคชันประเภทเดียวกัน.
การควบคุมผู้ที่สามารถเข้าถึง API เป็นส่วนสำคัญของการพัฒนาแอพมือถือเจ้าของโครงการเท่านั้นที่สามารถจัดการการเข้าถึง API ในการตั้งค่าเริ่มต้น. อย่างไรก็ตาม อาจมีบางครั้งที่คุณจำเป็นต้องอนุญาตหรือยกเลิกการเข้าถึง API
ด้วยการออกแบบ ใครๆ ก็สามารถถอดรหัส JWT ได้และอ่านเนื้อหาของส่วนหัวและส่วนเพย์โหลด แต่เราต้องการการเข้าถึงรหัสลับที่ใช้สร้างลายเซ็นเพื่อตรวจสอบความสมบูรณ์ของโทเค็น
JWT เซ็นชื่อแบบดิจิทัลหรือไม่
JSON Web Token (JWT) เป็นมาตรฐานเปิด (RFC 7519) ที่กำหนดวิธีการที่กะทัดรัดและสมบูรณ์ในตัวเองสำหรับการส่งข้อมูลอย่างปลอดภัยระหว่างฝ่ายต่างๆ เป็นวัตถุ JSON ข้อมูลนี้สามารถตรวจสอบและเชื่อถือได้เนื่องจากมีการเซ็นชื่อแบบดิจิทัล.
JWTs หรือ JSON Web Token มักใช้เพื่อระบุผู้ใช้ที่ผ่านการรับรองความถูกต้อง พวกเขาออกโดยเซิร์ฟเวอร์การรับรองความถูกต้องและถูกใช้โดยไคลเอ็นต์เซิร์ฟเวอร์ (เพื่อรักษาความปลอดภัย API)
รหัสส่วนตัว JWT คือวิธีการรับรองความถูกต้องไคลเอ็นต์โดยไคลเอ็นต์สร้างและลงนาม JWT โดยใช้คีย์ส่วนตัวของตนเอง. วิธีการนี้อธิบายไว้ในการรวมกันของ RFC 7521 (Assertion Framework) และ RFC 7523 (JWT Profile for Client Authentication และอ้างอิงโดย OpenID Connect และ FAPI 2.0 Security Profile
- OAuth2. ...
- หนังสือเดินทาง. ...
- สปริงซีเคียวริตี้. ...
- การรับรอง0. ...
- เสื้อคลุมกุญแจ ...
- Amazon Cognito ...
- Azure Active Directory ...
- การรับรองความถูกต้องของ Firebase
มีการอ้างสิทธิ์ JWT สองประเภท: ลงทะเบียนแล้ว: การอ้างสิทธิ์มาตรฐานที่ลงทะเบียนกับ Internet Assigned Numbers Authority (IANA) และกำหนดโดยข้อกำหนดเฉพาะของ JWT เพื่อให้แน่ใจว่าสามารถทำงานร่วมกันได้กับแอปพลิเคชันของบุคคลที่สามหรือภายนอก การอ้างสิทธิ์มาตรฐาน OIDC เป็นการอ้างสิทธิ์ที่สงวนไว้
ความแตกต่างหลักระหว่างสองสิ่งนี้คือ:คีย์ API ระบุโปรเจ็กต์การโทร — แอปพลิเคชันหรือไซต์ — ทำการเรียก API โทเค็นการตรวจสอบสิทธิ์ระบุผู้ใช้ — บุคคล — ที่ใช้แอปหรือไซต์.
Bearer Token ใช้เพื่อวัตถุประสงค์ในการตรวจสอบ ในขณะที่ API Key ใช้เพื่อวัตถุประสงค์ในการอนุญาต. Bearer Token รับรองความถูกต้องของไคลเอนต์และให้สิทธิ์การเข้าถึงทรัพยากร API ในขณะที่คีย์ API ให้สิทธิ์การเข้าถึงไปยังจุดสิ้นสุดหรือการดำเนินการเฉพาะ
JSON Web Token (JWT) คือมาตรฐานเปิดที่กำหนดวิธีที่กะทัดรัดและปลอดภัยต่อ URL ในการส่งข้อมูลอย่างปลอดภัยเป็นวัตถุ JSON ระหว่างฝ่ายต่างๆ. JWT มักใช้เพื่อรักษาความปลอดภัย RESTful API เนื่องจากสามารถใช้เพื่อรับรองความถูกต้องของไคลเอ็นต์ที่ต้องการเข้าถึง API
คีย์ API มีอยู่ 2 ประเภทหลัก: คีย์ API สาธารณะ: โดยปกติแล้วคีย์ API เหล่านี้จะสร้างขึ้นโดยเจ้าของแอปพลิเคชันและเปิดให้นักพัฒนาหรือผู้ใช้เข้าถึงได้ พวกเขาอนุญาตให้นักพัฒนาเข้าถึงข้อมูลสาธารณะหรือคุณลักษณะของแอปพลิเคชัน คีย์ API ส่วนตัว:คีย์ส่วนตัวใช้ในการสื่อสารระหว่างเซิร์ฟเวอร์กับเซิร์ฟเวอร์.
ความแตกต่างก็คือโทเค็น API รวมบัญชีผู้ใช้ไว้ในโทเค็นการเข้าถึงในขณะที่แอป OAuth ดำเนินการให้สิทธิ์โดยไม่มีบัญชีผู้ใช้. เมื่อคุณเลือกใช้โทเค็น API หรือแอป OAuth เพื่อทำการเรียก API คุณต้องพิจารณาข้อกำหนดเฉพาะของบริการ API ที่เกี่ยวข้องกับการโต้ตอบ
ตัวอย่างคีย์ API คืออะไร
คีย์ API เป็นโทเค็นที่ไคลเอนต์ให้เมื่อทำการเรียก API สามารถส่งคีย์ในสตริงข้อความค้นหา:รับ / อะไรซักอย่าง? api_key=abcdef12345.
- สร้างรหัสลับ
- สร้าง JWT โดยใช้รหัสลับ
- ส่ง JWT ให้กับลูกค้า
- ลูกค้ารวม JWT ในคำขอที่ตามมา
- เซิร์ฟเวอร์อ่าน JWT จากส่วนหัวของคำขอ
- เซิร์ฟเวอร์ Base64Url ถอดรหัสส่วนหัวและเพย์โหลด
- เข้าสู่ระบบผู้จัดการ API
- ในหน้ายินดีต้อนรับ คลิกไทล์พัฒนา API และผลิตภัณฑ์
- คลิก เพิ่ม > API
- เลือก OpenAPI ใหม่ คลิกถัดไป
- ป้อนข้อมูลที่เหมาะสมเพื่อสร้างข้อกำหนด REST API ...
- คลิกถัดไป
- ไม่ต้องทำการเปลี่ยนแปลงใดๆ บนหน้าจอที่ปลอดภัย ...
- คุณจะเห็นความคืบหน้าเมื่อมีการสร้าง API ใหม่
คีย์ Application Programming Interface (API) คือรหัสที่ใช้ระบุและรับรองความถูกต้องของแอปพลิเคชันหรือผู้ใช้ คีย์ API มีให้ใช้งานผ่านแพลตฟอร์มต่างๆ เช่น ตลาดภายในที่มีป้ายขาว พวกเขายังทำหน้าที่เป็นตัวระบุเฉพาะและจัดเตรียมโทเค็นลับเพื่อวัตถุประสงค์ในการตรวจสอบสิทธิ์
API ใช้สำหรับแอปพลิเคชันซอฟต์แวร์เพื่อส่งและรับข้อมูล API ยังสามารถเชื่อมต่อโปรแกรมหนึ่งกับอีกโปรแกรมหนึ่งเพื่อแบ่งปันการทำงานเพื่อที่จะเชื่อมต่อหรือสื่อสารกับ API อื่น จำเป็นต้องมีคีย์ API. คีย์ API เป็นขั้นตอนเริ่มต้นสำหรับการรักษาความปลอดภัย Cloud API
คีย์ API มีที่มาในการพัฒนาสมัยใหม่ แต่พวกเขามักจะใช้ในระดับดังกล่าวและในลักษณะที่พวกเขาไม่เคยถูกออกแบบมาเพื่อใช้. มาตรฐานแบบเปิดและโซลูชันแบบโอเพ่นซอร์สสนับสนุนโทเค็น API ซึ่งยอดเยี่ยมสำหรับการรักษาความปลอดภัย API และการรับรองความถูกต้องและการอนุญาตที่เพียงพอ
ใต้ Create Key ให้ตั้งชื่อ API เฉพาะสำหรับโครงการของคุณ จากนั้นคลิกปุ่มสร้าง. การดำเนินการนี้จะนำคุณไปยังหน้าที่แสดงรายการคีย์ที่คุณสร้างขึ้น ควรมีลักษณะเป็นสตริงสุ่ม 32 อักขระ