Clave API

Identificador para autenticarse con una API

Una clave de interfaz de programación de aplicaciones ( API ) es un identificador único secreto que se utiliza para autenticar y autorizar a un usuario, desarrollador o programa que llama a una API . ^{[1] [2]}

Los proveedores de computación en la nube como Google Cloud Platform y Amazon Web Services recomiendan que las claves API solo se utilicen para autenticar proyectos, en lugar de usuarios humanos. ^{[3] [4]}

Uso

API HTTP

Las claves API para API basadas en HTTP se pueden enviar de varias maneras: ^[5]

En la cadena de consulta :

POST  /algo?api_key=abcdef12345  HTTP / 1.1

Como encabezado de solicitud :

GET  /algo  HTTP / 1.1 Clave X-API :  abcdef12345

Como una galleta :

GET  /algo  HTTP / 1.1 Cookie :  X-API-KEY=abcdef12345

Seguridad

Las claves API no suelen considerarse seguras; normalmente, los clientes pueden acceder a ellas , lo que hace que sea fácil robarlas. Las claves no suelen tener fecha de caducidad, lo que significa que una clave robada se puede utilizar indefinidamente a menos que se revoque o regenere. ^[6] Se supone que las claves son un secreto que solo conocen el cliente y el servidor , por lo que no deben comunicarse a través de un canal inseguro y solo se pueden considerar seguras cuando se utilizan junto con otros mecanismos de seguridad como HTTPS . ^[5]

Existen varios escenarios de riesgo al utilizar claves API:

• Los desarrolladores pueden escribir scripts que contengan claves en texto sin formato . ^[2]
• Los desarrolladores pueden codificar claves en el código fuente y olvidarse de ello cuando publican el código. ^[2]
• Tener claves desprotegidas en aplicaciones móviles es peligroso. ^[2]

Estos riesgos generalmente se deben a que la clave está en texto simple, que es potencialmente accesible para los adversarios. ^[2]

Incidentes

En 2017, Fallible, una empresa de seguridad con sede en Delaware, examinó 16.000 aplicaciones de Android e identificó más de 300 que contenían claves API codificadas para servicios como Dropbox , Twitter y Slack . ^[7]

Referencias

1. "Clave API: ¿Qué es una clave API?". Última llamada - Blog de RapidAPI . Consultado el 20 de septiembre de 2019 .
2. Lu, HongQian Karen (junio de 2014). Cómo guardar sus claves API de forma segura. IEEE 7th International Conference on Cloud Computing. doi :10.1109/CLOUD.2014.143 – vía IEEE Xplore.
3. "¿Qué es una clave API? Explicación de las claves API y los tokens - AWS". Amazon Web Services, Inc. Recuperado el 1 de septiembre de 2024 .
4. "Por qué y cuándo usar claves API | Cloud Endpoints con OpenAPI". Google Cloud . Consultado el 1 de septiembre de 2024 .
5. "Claves API". Archivado desde el original el 17 de octubre de 2019.
6. "Por qué y cuándo usar claves API | Cloud Endpoints con OpenAPI". Google Cloud . Consultado el 20 de septiembre de 2019 .
7. "Cientos de aplicaciones populares de Android contienen claves secretas codificadas de forma rígida". ZDNet . Consultado el 20 de junio de 2022 .

Fuentes de libros

• De, Brajesh (2017). Gestión de API: guía para arquitectos sobre cómo desarrollar y gestionar API para su organización (1.ª ed.). Nueva York: Apress . ISBN 978-1-4842-1305-6. OCLC  978273106.

Enlaces externos

• Por qué y cuándo utilizar claves API