OpenAI
Trang này được dịch bằng máy học. Xem bài viết gốc bằng tiếng Anh.

Các phương pháp hay nhất để bảo vệ khóa API

Đã cập nhật: 5 days ago

1. Luôn dùng một khóa API riêng cho từng thành viên trong tài khoản của bạn.

Khóa API là một mã duy nhất dùng để nhận dạng các yêu cầu của bạn tới API. Khóa API của bạn chỉ dành cho bạn sử dụng. Việc chia sẻ khóa API là hành vi vi phạm Điều khoản sử dụng.

Khi bạn bắt đầu thử nghiệm, bạn có thể muốn mở rộng quyền truy cập API cho nhóm của mình. OpenAI không hỗ trợ việc chia sẻ khóa API. Vui lòng mời thành viên mới vào tài khoản của bạn từ trang Thành viên và họ sẽ nhanh chóng nhận được khóa riêng của mình khi đăng nhập. Bạn cũng có thể gán quyền cho từng khóa API.

2. Không bao giờ triển khai khóa của bạn trong các môi trường phía máy khách như trình duyệt hoặc ứng dụng di động.

Việc để lộ khóa API OpenAI của bạn trong các môi trường phía máy khách như trình duyệt hoặc ứng dụng di động cho phép người dùng xấu lấy khóa đó và gửi yêu cầu thay mặt bạn – điều này có thể dẫn đến các khoản phí ngoài dự kiến hoặc làm lộ một số dữ liệu tài khoản. Các yêu cầu luôn phải được chuyển qua máy chủ backend của riêng bạn, nơi bạn có thể giữ khóa API an toàn.

3. Không bao giờ commit khóa của bạn vào kho lưu trữ

Việc commit khóa API vào mã nguồn là một con đường phổ biến dẫn đến lộ thông tin xác thực. Với những ai có kho lưu trữ công khai, đây là cách phổ biến khiến bạn vô tình chia sẻ khóa của mình với internet. Kho lưu trữ riêng tư an toàn hơn, nhưng vi phạm dữ liệu cũng có thể khiến khóa của bạn bị lộ. Vì những lý do này, chúng tôi đặc biệt khuyến nghị dùng biến môi trường như một biện pháp chủ động để bảo vệ khóa.

4. Dùng Biến môi trường thay cho khóa API của bạn

Biến môi trường là biến được đặt trên hệ điều hành của bạn, thay vì bên trong ứng dụng. Nó gồm tên và giá trị. Chúng tôi khuyên bạn đặt tên biến là OPENAI_API_KEY. Việc giữ tên biến này nhất quán trong toàn nhóm giúp bạn có thể commit và chia sẻ mã mà không có nguy cơ làm lộ khóa API.

Thiết lập Windows

Tùy chọn 1: Đặt Biến môi trường ‘OPENAI_API_KEY’ qua cửa sổ cmd

Chạy lệnh sau trong cửa sổ cmd, thay <yourkey> bằng khóa API của bạn:

setx OPENAI_API_KEY "<yourkey>"

Thiết lập này sẽ áp dụng cho các cửa sổ cmd mở sau này, vì vậy bạn sẽ cần mở cửa sổ mới để dùng biến đó với curl. Bạn có thể xác nhận biến đã được đặt bằng cách mở cửa sổ cmd mới và nhập 

echo %OPENAI_API_KEY%

Tùy chọn 2: Đặt Biến môi trường ‘OPENAI_API_KEY’ thông qua Control Panel

1. Mở thuộc tính System và chọn Advanced system settings

Windows 10 System settings with Advanced system settings highlighted in Control Panel

2. Chọn Environment Variables...

Windows System Properties Advanced tab with Environment Variables button highlighted

3. Chọn New… từ phần User variables (phía trên). Thêm cặp tên/giá trị khóa của bạn, thay <yourkey> bằng khóa API của bạn.

Tên biến: OPENAI_API_KEY
Giá trị biến: <yourkey>

Thiết lập Linux / MacOS

Tùy chọn 1: Đặt Biến môi trường ‘OPENAI_API_KEY’ bằng zsh

1. Chạy lệnh sau trong terminal, thay yourkey bằng khóa API của bạn. 

echo "export OPENAI_API_KEY='yourkey'" >> ~/.zshrc

2. Cập nhật shell với biến mới:

source ~/.zshrc

3. Xác nhận rằng bạn đã đặt biến môi trường bằng lệnh sau. 

echo $OPENAI_API_KEY

Giá trị khóa API của bạn sẽ là kết quả được hiển thị.

Tùy chọn 2: Đặt Biến môi trường ‘OPENAI_API_KEY’ bằng bash

Làm theo hướng dẫn trong Tùy chọn 1, thay .zshrc bằng .bash_profile.

Bạn đã sẵn sàng! Giờ đây bạn có thể tham chiếu khóa trong curl hoặc tải khóa trong Python:

import os
import openai
 
openai.api_key = os.environ["OPENAI_API_KEY"]

5. Sử dụng Dịch vụ quản lý khóa

Có nhiều sản phẩm khác nhau để quản lý an toàn các khóa API bí mật. Các công cụ này cho phép bạn kiểm soát quyền truy cập vào khóa và cải thiện mức độ an toàn dữ liệu tổng thể. Trong trường hợp ứng dụng của bạn bị vi phạm dữ liệu, khóa của bạn sẽ không bị lộ vì chúng được mã hóa và quản lý ở một vị trí hoàn toàn riêng biệt.

Với các nhóm đang triển khai ứng dụng vào môi trường production, chúng tôi khuyên bạn nên cân nhắc một trong các dịch vụ này.

6. Theo dõi mức sử dụng tài khoản của bạn và xoay vòng khóa khi cần

Khóa API bị lộ cho phép người khác truy cập hạn mức tài khoản của bạn mà không có sự đồng ý của bạn. Điều này có thể dẫn đến mất dữ liệu, phát sinh chi phí ngoài dự kiến, cạn hạn mức hằng tháng và gián đoạn quyền truy cập API của bạn.

Mức sử dụng của nhóm bạn có thể được theo dõi qua trang Usage. Nếu bạn từng lo ngại về việc sử dụng sai mục đích, có một vài hành động bạn có thể thực hiện để bảo vệ tài khoản của mình:

  • Xem lại mức sử dụng của bạn để kiểm tra xem có phù hợp với công việc của nhóm hay không. Với người dùng thuộc nhiều tổ chức (ví dụ: công ty và cá nhân), hãy đảm bảo người dùng đã bật theo dõi và đặt tổ chức mặc định cho usage và tracking.

  • Nếu bạn tin rằng khóa của mình đã bị lộ, hãy xoay vòng khóa ngay từ trang API Keys. Với khách hàng có ứng dụng trong production, bạn sẽ cần cập nhật các giá trị khóa tương ứng.

  • Liên hệ với chúng tôi qua help.openai.com để được điều tra thêm.

7. Hạn chế quyền truy cập API bằng danh sách IP được phép

Danh sách IP được phép cho phép bạn hạn chế những địa chỉ IP nào có thể truy cập API OpenAI của bạn. Khi được bật, chỉ những yêu cầu từ các địa chỉ hoặc dải IP đã cấu hình mới được cho phép, còn tất cả yêu cầu khác sẽ bị từ chối—ngay cả khi chúng có khóa API hợp lệ.

Điều này bổ sung một lớp bảo vệ nữa bằng cách đảm bảo API của bạn chỉ có thể được truy cập từ hạ tầng đáng tin cậy, như máy chủ backend hoặc môi trường đám mây của bạn.

Để biết thêm thông tin, xem bài viết về danh sách IP được phép cho API OpenAI.

Bài viết này có hữu ích không?