什麼是 API 金鑰，以及如何安全地使用

API 與 API 金鑰

要理解 API 金鑰的意義，應先認識 API 本身。應用程式介面（API）是協助兩個或多個應用程式之間進行資訊交換的軟體中介。例如，不同的資料平台 API 可讓其他應用程式獲取並運用加密貨幣相關數據，包括價格、交易量與市值等資訊。

API 金鑰可以是單一金鑰，也可能是多組金鑰的組合。各系統會利用這些金鑰進行應用程式的身份驗證與授權，類似帳號與密碼機制。API 客戶端會透過 API 金鑰來驗證呼叫 API 的應用程式身份。

舉例來說，當某個應用程式希望連接資料平台 API 時，該平台會產生 API 金鑰，用來驗證請求 API 存取權限的應用程式（API 客戶端）。當應用程式向平台 API 發送請求時，API 金鑰會隨同請求一併傳送至平台。

在這種情境下，只有取得授權的應用程式能夠使用 API 金鑰，且不得將金鑰交由第三者。如果將 API 金鑰洩漏給他人，第三方即能取得 API 存取權，並以授權應用程式的身分執行操作。

此外，平台 API 也會利用 API 金鑰確認應用程式是否有權存取指定資源。API 擁有者還可利用 API 金鑰追蹤 API 活動，包括請求類型、流量及請求數量等。

什麼是 API 金鑰

API 金鑰用於控管及追蹤誰在使用 API 以及使用方式。「API 金鑰」一詞本身涵蓋多重涵義。有些系統僅有單一代碼，其他系統則會為一組 API 金鑰配置多組代碼。

換句話說，API 金鑰是一組或多組 API 用於驗證及授權呼叫方（用戶或應用程式）的唯一代碼。有些代碼作為身份驗證之用，其他則用於產生加密簽章，以確認請求的合法性。

這些負責身份驗證的代碼稱為「API 金鑰」，而用於產生加密簽章的代碼則有「密鑰」、「公開金鑰」或「私密金鑰」等名稱。身份驗證即為識別涉及主體並確認其身份。

授權則決定可存取的 API 服務範圍。API 金鑰的運作類似帳號的登入名稱與密碼，並可結合其他安全功能強化整體防護。

API 擁有者會針對每個特定對象產生專屬的 API 金鑰，每當呼叫 API 端點且需驗證或授權時，便會使用對應金鑰。

加密簽章

部分 API 金鑰採用加密簽章作為額外驗證層級。用戶將資料傳送至 API 時，可於請求中加入以另一金鑰產生的數位簽章。藉助密碼學技術，API 擁有者能驗證該數位簽章是否與傳送資料相符。

對稱式與非對稱式簽章

透過 API 傳遞資料時，會採用下列類型的加密金鑰：

對稱式金鑰

此類型僅需一把密鑰，即可完成資料簽章與驗證。API 擁有者產生 API 金鑰及密鑰，供 API 服務進行簽章驗證。最大優勢在於金鑰產生及驗證速度快、運算資源需求低。HMAC 即為優良的對稱式金鑰範例。

非對稱式金鑰

這類型會產生一對不同但具密碼學關聯的金鑰：私密金鑰與公開金鑰。私密金鑰用於產生簽章，公開金鑰則用於驗證。API 擁有者產生 API 金鑰，用戶產生私密金鑰與公開金鑰。驗證時，API 擁有者只需持有公開金鑰，私密金鑰則應妥善保密。

非對稱式金鑰的關鍵優勢在於能將簽章產生及驗證權限分離，大幅提升安全性。此設計允許外部系統驗證簽章，卻無法自行產生簽章。部分非對稱加密系統還可為私密金鑰加設密碼。RSA 金鑰對即屬一例，詳見此頁。

API 金鑰安全性

API 金鑰的安全維護責任在於用戶。API 金鑰等同密碼，務必妥善保管。切勿將 API 金鑰交給第三方，否則相當於洩漏密碼，帳戶將受到威脅。

API 金鑰經常成為駭客攻擊目標，因其能用於查詢個資或執行金融交易等敏感操作。過去曾有駭客入侵線上資料庫竊取 API 金鑰的案例。

API 金鑰遭竊恐造成嚴重後果與巨額資金損失。且部分 API 金鑰未設有效期限，駭客可持續利用，直到金鑰被停用為止。

API 金鑰安全使用建議

API 金鑰可存取機密資料，因此務必採用安全措施。請參考下列建議以保障 API 金鑰安全：

1. 定期更換 API 金鑰

請定期更換 API 金鑰。更換時應先刪除現有 API 金鑰，再建立新金鑰。若同時操作多系統，刪除與產生金鑰程序簡便。仿照部分系統要求每 30 至 90 天更換密碼，建議金鑰擁有者也以相似頻率更換 API 金鑰。

2. 設定 IP 位址白名單

新建 API 金鑰時，請設定允許該金鑰存取的 IP 位址白名單。亦可設置黑名單，限制特定 IP。如此即使金鑰外洩，未授權 IP 也無法濫用。

3. 使用多組 API 金鑰

分別使用多組金鑰並分配不同任務，有助於分散風險，避免單一金鑰掌控所有敏感權限。同時可針對每組金鑰設定不同 IP 白名單，進一步提升安全性。

4. 妥善保存 API 金鑰

請避免將金鑰儲存於公開場合、共用電腦，或以明文形式存放。建議採用加密或機密資訊管理服務，並注意防範金鑰無意間洩漏。

5. 勿與他人共用 API 金鑰

將 API 金鑰交給他人猶如洩漏密碼，第三方將獲得相同驗證與授權權限。若資料外洩，API 金鑰可能遭竊並用於入侵帳戶。API 金鑰僅應由本人及發行平台系統使用。

若 API 金鑰已外洩，請立即停用，以防止進一步損失。如發生資金損失，請保存關鍵事件資訊截圖並聯繫相關單位，同時報警處理，以增進追回損失資金的機會。

總結

API 金鑰兼具身份驗證與授權功能，使用者必須妥善保管並審慎使用。API 金鑰保護有多層次與多種方式。務必將 API 金鑰視同帳戶密碼妥善管理。

FAQ

什麼是 API 金鑰及其用途？

API 金鑰是一組用於驗證及管理應用程式介面存取的唯一代碼。可確保安全、控管 API 用戶存取權限，有效防止未經授權的存取行為。

如何在應用程式中安全儲存 API 金鑰？

請將 API 金鑰加密存放，並採用環境變數或權限控管的組態檔。切勿將金鑰寫入原始碼。建議使用機密管理服務，於應用程式執行時自動加解密。

API 金鑰外洩會帶來哪些安全風險與威脅？

API 金鑰外洩可能導致未經授權存取帳戶、資金遭竊、帳戶遭完全接管，甚至執行未授權交易。攻擊者可存取敏感資料、修改安全設定，造成重大財損。

如何限制 API 金鑰的權限？

請依最小權限原則，僅賦予 API 金鑰必要權限。定期檢視並調整權限設定，維持最佳安全性。

API 金鑰遭竊或外洩時該怎麼辦？

請立即停用或撤銷 API 金鑰，以防止被濫用，並聯繫 API 開發商尋求後續協助。請盡快建立新金鑰替換原有金鑰。