什麼是 API 金鑰？如何安全地使用

API 與 API 金鑰

在理解 API 金鑰的意義前，必須先認識 API 本身。應用程式介面（API）是一種軟體中介，協助兩個或多個應用程式之間交換資訊。例如，透過不同資料平台的 API，其它應用程式可以獲取與加密貨幣相關的數據，包括價格、交易量和市值等資訊。

API 金鑰可以是單一金鑰，也可能由多組金鑰組成。各系統會利用這些金鑰對應用程式進行身份驗證與授權，運作方式類似帳號與密碼。API 客戶端透過 API 金鑰來驗證呼叫 API 的應用程式身份。

舉例來說，當某個應用程式需要連接資料平台 API 時，該平台會產生 API 金鑰，用於驗證該應用程式（API 客戶端）是否擁有 API 存取權限。當應用程式向平台 API 發送請求時，API 金鑰會隨同請求一併傳送至平台。

在這種情境下，僅有獲授權的應用程式能使用 API 金鑰，且不得轉交第三方。若 API 金鑰洩漏給他人，第三方即可取得 API 存取權，並以授權應用程式的身份進行操作。

此外，平台 API 亦會透過 API 金鑰確認應用程式是否有權存取指定資源。API 擁有者還能藉由 API 金鑰追蹤 API 活動，包括請求類型、流量及請求次數等。

什麼是 API 金鑰

API 金鑰用於控管並追蹤誰在使用 API 及其使用方式。「API 金鑰」本身具有多重涵義。有些系統僅設計單一代碼，其它系統則為一組 API 金鑰配置多組代碼。

換言之，API 金鑰是一組或多組供 API 用於驗證及授權呼叫方（用戶或應用程式）的唯一代碼。有些代碼用於身份驗證，其它則用於產生加密簽章，以確認請求的合法性。

這些負責身份驗證的代碼稱為「API 金鑰」，而用於產生加密簽章的代碼則有「密鑰」、「公開金鑰」或「私密金鑰」等名稱。身份驗證即指識別主體並確認其身份。

授權則決定能夠存取哪些 API 服務範圍。API 金鑰的運作方式類似帳號的登入名稱與密碼，並可結合其他安全機制進一步提升防護。

API 擁有者會針對每個特定對象產生專屬 API 金鑰，每當呼叫 API 端點且需驗證或授權時，即會使用相應金鑰。

加密簽章

部分 API 金鑰採用加密簽章作為額外驗證層。用戶在傳送資料至 API 時，可於請求中加入由另一金鑰產生的數位簽章。藉由密碼學技術，API 擁有者可驗證該數位簽章是否與傳送資料相符。

對稱式與非對稱式簽章

透過 API 傳遞資料時，常用下列兩種加密金鑰類型：

對稱式金鑰

此類型僅需一把金鑰，即可完成資料簽章及驗證。API 擁有者產生 API 金鑰與密鑰，供 API 服務簽章驗證。其最大優勢為金鑰產生與驗證速度快，且運算資源需求低。HMAC 即為常見的對稱式金鑰範例。

非對稱式金鑰

此類型會產生一對不同但具密碼學關聯的金鑰：私密金鑰與公開金鑰。私密金鑰用於產生簽章，公開金鑰則用於驗證。API 擁有者產生 API 金鑰，用戶產生私密金鑰與公開金鑰。驗證時，API 擁有者僅需持有公開金鑰，私密金鑰必須妥善保密。

非對稱式金鑰的關鍵優勢在於可將簽章產生與驗證權限分離，顯著提升安全性。此設計讓外部系統可驗證簽章，無法自行產生簽章。部分非對稱加密系統還能為私密金鑰加設密碼。RSA 金鑰對即為典型案例，詳見此頁。

API 金鑰安全性

API 金鑰的安全維護責任在用戶。API 金鑰等同密碼，必須妥善保管。切勿將 API 金鑰交給第三方，否則如同洩漏密碼，帳戶將面臨風險。

API 金鑰經常成為駭客攻擊對象，因其可用於查詢個資或執行金融交易等敏感操作。過去曾有駭客入侵雲端資料庫竊取 API 金鑰的案例。

API 金鑰遭竊可能造成嚴重後果與巨額資產損失。且部分 API 金鑰未設有效期限，駭客可持續利用，直到金鑰被停用。

API 金鑰安全使用建議

API 金鑰可存取機密資料，因此必須採取安全措施。請遵循下列建議以強化 API 金鑰安全：

1. 定期更換 API 金鑰

請定期更換 API 金鑰。更換時應先刪除現有 API 金鑰，再建立新金鑰。若同時管理多個系統，刪除與產生金鑰程序更為簡便。部分系統規定每 30 至 90 天更換密碼，建議金鑰擁有者也以類似頻率更換 API 金鑰。

2. 設定 IP 位址白名單

新建 API 金鑰時，請設定允許該金鑰存取的 IP 位址白名單。也可設置黑名單以限制特定 IP。如此即使金鑰外洩，未授權 IP 也無法濫用。

3. 使用多組 API 金鑰

分別使用多組金鑰並分配不同任務，有助於分散風險，避免單一金鑰掌控所有敏感權限。同時可針對每組金鑰設定不同 IP 白名單，進一步提升安全性。

4. 妥善保存 API 金鑰

請勿將金鑰儲存於公開場所、共用電腦，或以明文方式保存。建議採用加密或機密資訊管理服務，並防範金鑰不慎外洩。

5. 勿與他人共用 API 金鑰

將 API 金鑰交給他人等同洩漏密碼，第三方將獲得相同的驗證與授權權限。若資料外洩，API 金鑰恐遭盜用並用於入侵帳戶。API 金鑰僅供本人及發行平台系統使用。

若 API 金鑰已外洩，請立即停用，以防進一步損失。如有資產損失，請保存事件關鍵截圖並聯繫相關單位，同時報警處理，以提高追回資產的機會。

總結

API 金鑰同時具備身份驗證與授權功能，使用者必須妥善保管並謹慎使用。API 金鑰保護有多層次與多種方式。請務必將 API 金鑰視同帳戶密碼嚴格管理。

FAQ

什麼是 API 金鑰及其用途？

API 金鑰是一組用於驗證和管理應用程式介面存取的唯一代碼。它能確保安全，控管 API 用戶的存取權限，有效防止未經授權的存取行為。

如何在應用程式中安全儲存 API 金鑰？

請對 API 金鑰進行加密儲存，並採用環境變數或權限管控的設定檔。切勿將金鑰寫入原始碼。建議使用機密管理服務，於應用程式執行時自動加解密。

API 金鑰外洩會帶來哪些安全風險與威脅？

API 金鑰外洩可能導致未經授權存取帳戶、資產遭竊、帳戶被完全接管，甚至執行未授權交易。攻擊者可存取敏感資料、變更安全設定，造成重大財務損失。

如何限制 API 金鑰的權限？

請遵循最小權限原則，僅賦予 API 金鑰必要權限。定期檢查並調整權限設定，以維持最佳安全性。

API 金鑰遭竊或外洩時該怎麼辦？

請立即停用或撤銷 API 金鑰，以防被濫用，並聯繫 API 開發商尋求協助。請盡速建立新金鑰進行替換。