問題タブ [api-key]

Rails アプリに API を追加するための出発点となる Rails プラグインまたは ruby​​gem はありますか? API キー/シークレット キー モデルを使用したいので、API もバージョン管理できる必要があります。このすべてではないにしても、私たちにいくつかを与えるものはありますか?

サインアップ、クォータ、API キーのキー生成をすべて行うサード パーティのサイトがあったことを覚えています。名前が思い出せないので、どなたかご存知の方いらっしゃいませんか？

私は現在 WCF を使用しており、API キーと署名に基づいてカスタム セキュリティ モデルを実装しようとしています (Facebook/Flickr/OAuth などの仕組みと同様)。

ServiceAuthorizationManager、SecurityToken、SecurityTokenValidator、IAuthorizationPolicy などのクラスがいくつかありますが、これらがどのように連携するか、または WCF の概念セキュリティ モデルとは何かについてのドキュメントを見つけることができないようです。

これらのクラスがどのように適合し、どのように連携するかを詳しく説明するものを本当に探しています。そのため、資格情報を抽出する場所、それらが正しいことを検証する場所、それらに与えるアクセスのレベルを決定する場所などを理解できます。このことについて購入できる本があれば、それはさらに良いでしょう.

そこにドキュメントはありますか？

FlickrのAPIを使用したいC＃アプリケーションがあります。APIキーと共有シークレットを受け取りましたが、キーを受け取ったときに、提供されたAPIキーを提供しないことが明示的に示されています。

このアプリはオープンソースであり、Reflectorでも簡単に表示できるため、文字列として保存するのは本当に安全ではないと思います。

対称鍵で暗号化することもできますが、鍵のパスワードがコードで提供されるため、難読化されています。

私の質問は、FlickrからAPIキーを保護することは実際に必要ですか？もしそうなら、キーを適切に保護するための推奨事項はありますか？

難読化しないでください。シンプルであるほど良いです。

同様の投稿はAjax Adob​​e AIR アプリで API を使用してシークレットを共有していますが、これらが逆コンパイルから保護されているとは確信していませんでした。その場合は、説明してください (たとえば、誰かが逆コンパイルして URLLoader を自分で使用するのを妨げている理由など)。

私が開発している小さな Web アプリケーションで問題に直面しています: 私の HTML ソースは別のサイトの HTML ソースに統合されます。コードで Google マップを使用しているため、現在のドメインに Google マップ スクリプトをロードするための API キーを渡す必要があります。

問題: 私のコードは 2 つの異なるドメインに統合され、2 つの異なる API キーが必要になります。私はこれらの 2 つのキーを持っており、JavaScript によって (document.location.host の助けを借りて) 有効なキーを識別できますが、正しいキーを使用してスクリプトを動的にロードするにはどうすればよいでしょうか?

参考までに: キーはスクリプト読み込み URL のパラメーターとして渡されます。

Google が Google マップ サービスを保護するために使用するものなど、URL ベースの API キー制限がどのように機能するかを知りたいです。

この記事「 Ajax サービスへのアクセスを制限する」から私が理解したところによると、関係する部分は 2 つあります。次に、Referer ヘッダーに基づいてサービスがキーを検証します。

記事は非常に説明的ですが、検証方法がどれほど安全かを理解するのにまだ問題があります. つまり、キーがリファラーに対してのみチェックされる場合、これは非常に簡単に偽造されませんか? 私は、単純な "127.0.0.1 www.mydomain.com" をホスト ファイルに追加するだけで検証をだますことができると考えており、リファラーは www.mydomain.com であると考えています。

私はいくつかのことを誤解している可能性があり、いくつかの説明をいただければ幸いです。

PHP用のAPIキージェネレータースクリプト/クラスを知っている人はいますか? クラスには、キーを生成するメソッド generate と、キーが有効かどうかを確認する isValid() メソッドが必要です。

この言葉は、最近のほとんどすべてのクロスサービスアプリケーションで見られます。

APIキーとは正確には何ですか？その用途は何ですか？

また、公開APIキーと秘密APIキーの違いは何ですか。

ペットプロジェクトの場合、いくつかの異なるWebサービスからのAPIキーを必要とするデスクトップアプリケーションを開発します。

私はこのアプリケーションを調べて準備し、オープンソースになり、これらのキーをどう処理するかという問題に遭遇しました。

問題はこれです：私の理解では、これらのAPIキーは、アプリケーションを使用している人やソースコードを表示/変更している人には見えないはずです。Webサービスの側から、これらのAPIキーは、APIにアクセスするアプリケーションを識別し、必要に応じて使用を許可/ブロックするために使用されます。これらのキーを受け取るためのほとんどのTOSでは、実際には、キーを世界と共有してはならないことが明示的に示されています。

現在、私のすべてのキーはハードコーディングされていますが、オープンソースアプリケーションで秘密キーの状況を処理する方法について行き詰まっています。

-キーがハードコーディングされたままの場合、ソースコードが公開されるとすぐに公開されます。

-コード配布からキーを含むソースファイルを実際に省略することはできません。それ以降、コンパイルされないためです。これは技術的に問題を解決しますが、新しい、受け入れられない問題をもたらします。

-キーを.iniまたは他の構成ファイルにプッシュし、そのファイルをパブリックコードリポジトリに含めない場合でも、アプリが機能するためには、アプリケーションのバイナリとともに配布する必要があります。私のキーは、ソースディストリビューションではなくアプリケーションディストリビューションに表示されます。改善ではありません。このINIファイルで利用しようとした暗号化体操は、コードを変更しようとする人にとっては複雑さを増すことになります。

それで、私のコードベース（現在バージョン管理のためにMercurialの下にあります）に関して、コードを公開できるようにすべてを管理するための最良の方法は何ですか？しかし私のキーは非公開のままですか？