Для чего нужен api key
Ключи API и их безопасность
Аутентификация означает подтверждение вашей личности с использованием таких учетных данных, как идентификатор пользователя, имя пользователя, пароль. Он касается определения того, используете ли вы то, что, как вы говорите, используете предоставленные вами учетные данные. Наиболее общий пример — Форма входа в систему, с которой мы сталкиваемся почти на всех сайтах.
Например, если мы возьмем пример ноутбука. Предположим, в ноутбуке 2 пользователя: один — администратор, а другой — ABC. ABC не авторизован для удаления файла. ABC может только создать файл, прочитать файл, изменить файл.
Если пользователь ввел учетные данные администратора. Система сначала сопоставит учетные данные с данными в базе данных, чтобы определить, кто это пользователь или для случая, является ли он законным пользователем или нет. После проверки подлинности учетных данных система узнает, что она является администратором, поэтому она увидит набор разрешений для администратора и предоставит только те привилегии, которые предназначены для администратора. Как и администратор может удалить файл также. Но если это пользователь ABC, то он сможет только создать файл, прочитать файл и изменить файл, удаление не будет разрешено. Это известно как Авторизация.
Проходя через эти различия, мы можем легко понять разницу между API Key и OAuth. Существует три типа механизма безопасности для API —
В любое время при отправке запроса нам нужно отправить ключ API, разместив его в любом из указанных выше мест. Таким образом, если в какой-то момент времени сеть будет взломана, вся сеть станет доступной, и ключ API будет легко извлечен.
После того как ключ API украден, его можно использовать в течение неопределенного периода времени. До тех пор, пока владелец проекта не отменит ключ API и не сгенерирует новый.
На рисунках ниже показано, как работает учетная запись OAuth: 
После успешного входа в систему создается токен. Этот токен при представлении на сервер определяет соответствующие права для вызывающего пользователя и соответственно генерирует результаты. Выделенная часть на изображении представляет сгенерированный токен авторизации. 
Что такое API ключ ВБ? Какая история доступна по АПИ и что вообще по нему доступно?
В этой статье мы поговорим об АПИ/API ключе Вайлдберриз и о том какие данные можно с его помощью получить для аналитики.
В частности, мы ответим на следующие вопросы:
Что такое АПИ ключ?
АПИ ключ (или API ключ) — это просто код или последовательность символов, которая является паролем для того, чтобы можно было автоматически скачивать данные из Личного Кабинета поставщика на Wildberries
Физически API ключ представляет собой последовательность символов. Вайлдберриз предоставляет по факту два ключа х32 и х64, выглядят они следующим образом (в разделе Настройки — Доступ по API вашего кабинета Поставщика):
Если у вас еще нет АПИ ключа, но вы хотите его сделать, то здесь мы рассказывали как это сделать.
Какие данные можно получить, зная АПИ ключ?
По АПИ можно получить ТОЛЬКО следующие данные (исходя из офиц. документации по АПИ)
По факту работают первые пять пунктов — данные по платному хранению практически никогда не возвращаются (не передаются от ВБ), поэтому получить их для отчетов невозможно
Второй важный вывод — очевидно, что получить можно только часть данных, например, нельзя получить
Какую глубину истории можно скачать по API?
По официальной документации по сервису АПИ данные
А что на самом деле
Статистика ниже по 200+ Личным Кабинетам
Должны отметить, что есть небольшая корреляция — чем крупнее бренд/чем больше продажи, то тем лучше ВБ хранит их историю, вот такая вот дискриминация…
Что делать, если вы попали в последние категории и история ваших заказов и продаж доступна только за 1-2 недели? Или даже если у вас трехмесячная история, но вы хотите видеть историю за 2 года? Ситуацию исправить можно, но лишь частично — из вашего Личного Кабинета можно выгрузить историю продаж любой глубины и подгрузить в наши отчеты. Подробно это описано здесь, на практике это означает, что вы сможете смотреть график продаж за любой период + будут работать отчеты ABC и P&L, остальные лишь частично.
Если вас смущают вопросы безопасности и вы боитесь делиться своим АПИ ключом с нами, то вот здесь мы постарались описать почему это безопасно.
Дата актуализации статьи: 12 января 2021
Для чего нужен api key
Counter-Strike: Global Offensive
Пример:
Форма авторизации открывается в маленьком окне. Поле адреса страницы пустое. Логин и пароль не заполняются автоматически, если сохранены в браузере.
Чуть более продвинутая версия скам формы.Форма авторизации открывается в маленьком окне. Поле адреса поддельное, сделано в виде HTML элемента. Логин и пароль не заполняются автоматически, если сохранены в браузере.
Без действий со стороны пользователя, получить этот ключ невозможно.
Пользователь пополняет какой-нибудь сайт скинами, но деньги на сайт не приходят. Оказалось, он отправил их мошеннику, однако проверочный код трейда совпадал.
Как это происходит?
1) Пользователь нажимает кнопку пополнение счет на сайте
2) Бот сайта присылает пользователю трейд с секретным кодом
4) Мошенник, используя API ключ пользователя, отменяет трейд, который прислал бот настоящего сервиса
5) Мошенник меняет ник своего бота и присылает пользователю трейд с таким же проверочным кодом и с таким же списком вещей.
6) Пользователь принимает трейд, даже не замечая подмены. Процесс скорее всего полностью автоматизирован.
Еще можно попробовать продать что-то дорогое или пополнить счет с помощью SkinPay
FAQ по API
По работе с API у вас, коллеги, возникают вопросы: ошибки, ограничения, API-KEY и так далее. Ответы на основные вопросы будут здесь
Мне нужен личный аккаунт для работы с API?
Да, вам необходимо зарегистрровать личный аккаунт вот здесь https://social-network.samuraijs.com/signUp
Внимание! Письмо регистрация приходит без проблем на gmail, на почтовые адреса других почтовых провайдеров письмо может не дойти 😑
Где взять API-KEY и зачем он нужен (403 http статус)?
вы можете сгенерировать свой API-KEY.
Данный API-KEY нужно прикреплять к каждому запросу к API.
Например это можно сделать так:
Внимание! Для того, чтобы ваша авторизационная cookie цеплялась к запросам, не забудьте добавить
Платная подписка (429 http статус)
Платная подписка нужна для того, чтобы увеличить кол-во запросов к API (при достижении лимитов вы будете получать 429 http-статус). Подписку можно оформить вот здесь: https://social-network.samuraijs.com/Default/Payment/MakeSubscription
Если в вашей стране не получается оплатить с помощью предоставленных платёжных систем, пожалуйста, попробуйте сделать это через VPN, либо попросите друзей из России сделать за вас платёж.
Будет ли работать моё приложение, размещённое на github pages или heroku?
На бесплатном аккаунте вы можете работать только с localhost:3000-3003.
Если у вас платный аккаунт, вы можете разместить свой SPA на хостинге, например вот так:
https://it-kamasutra.github.io/react-way-of-samurai
Внимание! Вот здесь https://social-network.samuraijs.com/account
нужно указать домен, на котором размещено ваше приложение. В моём случае это https://it-kamasutra.github.io
(внимание, домен, с протоколом, без хвостовой части сайта, без слеша на конце)
Настройки буду применены через 10-30 минут после сохранения.
Зачем нужен бесплатный аккаунт?
В вашем приложении, размещённом на хостинге можете залогиниться
free-аккаунт нужен для того чтобы вы не «палили» свои личные логин и пароль и не утратили доступ к платному аккаунту. По сути, вы можете «вхардкодить» данные free-аккуанта прямо в код, чтобы при заходе на страницу логина вашего приложения работодатель/hr/друзья могли поиграться с вашей соц. сетью
Зачем использовать ключ API и секрет?
Я столкнулся со многими API, которые дают пользователю как API ключ и секрет. Но мой вопрос: в чем разница между тем и другим?
в моих глазах одного ключа может быть достаточно. Скажем, у меня есть ключ, и только я и сервер это знаем. Я создаю хэш HMAC с этим ключом и выполняю вызов API. На сервере мы снова создаем хэш HMAC и сравниваем его с отправленным хэшем. Если это то же самое, вызов аутентифицируется.
Так зачем использовать два ключи?
изменить: или этот ключ API используется для поиска секрета API?
4 ответов
криптография секретного ключа полагается на использование того же ключа для кодирования, а затем декодирования сообщения. Таким образом, только те, кто знает «секрет», могут прочитать сообщение.
безопасность RSA основана на 2 совпадающих ключах. Есть открытый ключ для каждого пользователя, и каждый может (должна) это знать. Есть также закрытый ключ, который должен знать только пользователь. Сообщение, зашифрованное открытым ключом, может быть расшифровано только закрытым ключом, и наоборот.
таким образом, если я хочу отправить Вы сообщение, которое только вы можете прочитать, я получаю (из сети) Ваш открытый ключ, зашифровать сообщение с этим ключом, и вы единственный человек, который может расшифровать его.
или, если я хочу доказать вам, что я отправил сообщение, я могу зашифровать сообщение своим закрытым ключом, рассказать вам (в открытом тексте или в другом сообщении), Как оно было зашифровано. Затем вы можете расшифровать сообщение с помощью моего открытого ключа, и если оно станет читаемым, вы знаете, что оно пришло от меня.
эта форма шифрования довольно компьютерный, поэтому иногда делается шифрование одноразового «секретного ключа» с помощью технологии RSA, затем шифрование остальной части сообщения с помощью секретного ключа, а затем шифрование моей подписи вторым способом. Затем вы обращаете этот процесс вспять, так что если сообщение и подпись читаемы, вы и только вы можете прочитать его, и вы уверены, что я отправил сообщение.
вы можете посетить эту ссылку для более подробного объяснения.
вам нужны два отдельных ключа, один, который говорит им, кто вы, а другой, который доказывает, что вы тот, кто вы говорите, что вы.
простой ответ, если я правильно понял.
Если вы используете свой ключ API для шифрования, как служба узнает, кто с ними связывается? Как они расшифруют это сообщение?
вы используете ключ API, чтобы указать, кто вы, это то, что вы отправляете в обычном тексте. Секретный ключ ты не отправлять кому угодно. Вы просто используете его для шифрования. Затем вы отправляете зашифрованное сообщение. Вы не отправляете ключ, который использовался для шифрования, что бы победить цель.
есть ответы, объясняющие, что такое секретный и (открытый) ключ. Это пара открытого и закрытого ключей, которым они дают запутанные имена. Но никто не говорит, Почему Апис требует и того, и другого, и многие Апис дают вам только один секрет! Я также никогда не видел, чтобы документы API объясняли, почему у них есть два ключа, поэтому лучшее, что я могу сделать, это спекулировать.
лучше всего поместить только ваш открытый ключ в ваш запрос и подписать запрос локально с вашим закрытым ключом; отправка ничего больше не потребуется. Но некоторые уйти с просто секрет в запросе. Хорошо, любой хороший API будет использовать некоторую транспортную безопасность, такую как TLS (обычно через HTTPS). Но вы все еще подвергаете свой закрытый ключ серверу таким образом, увеличивая риск того, что они каким-то образом неправильно его обрабатывают (см.: недавно обнаруженная ошибка регистрации паролей GitHub и Twitter). И HTTPS теоретически так же безопасен,но всегда есть недостатки реализации.
но многие-на самом деле большинство кажется-Апис у вас отправить оба ключа в запросах, так как это проще, чем заставить людей делать свои собственные подписи; иначе не может быть чистых примеров cURL! В таком случае бессмысленно разделять их. Я думаю, что отдельные ключи просто на случай, если они изменят API позже, чтобы воспользоваться ими. Или у некоторых есть клиентская библиотека, которая может сделать это более безопасным способом.