問題タブ [api-key]

私のアプリケーションは、TwitterやFlickrなどの多くのWebサービスにアクセスします。これらのサービスのAPIキーを使用しているので、バイナリでそれらを難読化したいと思います。（私は著作権侵害などについてはあまり心配していません。これらのキーを秘密にしておく必要があります。）

それについて行くための最良の方法は何ですか？

それらをconstSecureStringとして保存すると、メモリから除外されますか？MSDNの説明によると、テキストは「不要になったときにコンピュータのメモリから削除されます」と書かれていますが、constは常にメモリ内にあるとは限りません。

Dotfuscatorは私のアセンブリでそれを覆い隠しますか？（私がそれを動作させることができると仮定します。）

最近、GoogleはAPIキーの使用に関するポリシーを変更しました。これで、GoogleマップをWebサイトに配置するためのAPIキーは不要になります。

そして、これは完璧に機能しました。しかし今、私はこのマップ（APIキーなし）をローカルホストで実行しています。これは正常に機能します。しかし、オンラインにするとすぐに、別のAPIキーが必要であるというポップアップが表示されます。そして、そのウェブサイトの別のページでは、Googleマップは機能します。動作しないマップに多くの（30以上の）マーカーが含まれていることと関係があるのでしょうか？

これは多くのウェブサイトで使用されているWordpressプラグインの一部であるため、実際にAPIキーを使用することは私にとってあまり良い解決策ではありません。

yahoo 開発者 API キーを登録しました。彼らはそれへのリンクや情報を私に電子メールで送りませんでした。承認されましたが、結果の API を表示する場所がわかりません。グーグルとのすべてのリンクは、再びアプリケーションページを指しているようです。

API キーはどこにあるのでしょうか?!

追伸: 嫌だ、ヤフー。

私は、顧客が私のアプリケーションの特定のデータにアクセスできるようにするDrupalモジュールを構築しているWebアプリケーションを持っています。

Drupalモジュールのコピーにその値を入力する必要がある顧客に秘密のAPIキーを配布するつもりです。次に、このDrupalモジュールは私のWebアプリケーションと通信しますが、POSTリクエストが実際にそのソースから送信されていることを確認する必要があります。

この「秘密鍵」を使用して、アプリケーションがそれを受信したときに知っている情報を渡すにはどうすればよいですか。

このAPIキーをパスワードとして使用して、POSTリクエストの残りの部分と一致する一部のデータを暗号化する必要がありますか？それを受け取ったら、APIキーのコピーを使用して復号化し、残りのデータと一致する場合は、検証済みと見なしますか？

私のためにこれを行うフレームワークはありますか？Zend内に何かありますか？

柔軟な API Rest サーバーを作成したいと考えています。クライアントが HTTP または APIKEY を使用して認証できるようにします。

私の質問は、apikey を GET リクエストに追加する正しい方法は何ですか? 私の問題は、apikey が URL を汚染することです。

次のようなものを想像します: /book/1/apikey/s4cr4t !

->この質問は、Windows Phone 7のモバイルアプリケーションを対象としています（ただし、このソリューションはどの.netアプリケーションでも使用できると確信しています<-

こんにちは、アプリケーション内でアプリケーションID、APIキー、クライアントキーなどを呼び出す方法は何ですか。これらのタイプのキーをアプリケーション内に直接保存するのではなく、「呼び出す」ことをお勧めします。その理由は、アプリがダウンロードおよび逆コンパイルされる可能性があるため、キーが盗まれる可能性があるためです。

キーをアプリに直接保存せずにキーを呼び出す安全な方法を知っている人はいますか？または、キーがデバイスに保存されているときにキーを暗号化するのでしょうか。または、他に存在する方法はありますか？

あなたの推薦や提案は大歓迎です。

会社のデータに対してパブリックAPIを設計しています。アプリケーション開発者がAPIキーにサインアップして、使用と過剰使用を監視できるようにする必要があります。

APIはRESTであるため、私の最初の考えは、このキーをカスタムヘッダーに配置することです。これは私がグーグル、アマゾン、そしてヤフーがそれをするのを見た方法です。一方、私の上司は、キーがURLの一部にすぎない場合など、APIの方が使いやすいと考えています。「http://api.domain.tld/longapikey1234/resource」。そのために言うべきことがあると思いますが、それはあなたが望むものの単純なアドレスとしてのURLの原則に違反しており、あなたがそれを望む方法や理由ではありません。

URLにキーを入れるのは論理的だと思いますか？または、単純なjavascriptフロントエンドを一部のデータに書き込む場合は、HTTPヘッダーを手動で設定する必要はありませんか？

私は Mac OS X 用の Twitter クライアントを作成しており、コンシューマ シークレットを持っています。私の理解では、この秘密鍵を共有すべきではありません。問題は、それを文字列リテラルとしてアプリケーションに入れ、次のように使用する場合です。

アプリケーションのバイナリのデータ セクションにあります。ハッカーはこれを読んだり、アプリケーションを分解したりできます。

コンシューマ シークレットを安全に保存する方法はありますか? 暗号化する必要がありますか？

FlickrJSONベースのアプリケーションを作成しました。FlickrのJSONキーが必要です。作成しようとすると、block.opendns.comにリダイレクトされるため、FlickrAPIキーを取得できません。アプリケーションをテストして、機能しているかどうかを確認したいだけです。では、誰かがFlickr APIキーを私に提供できますか？ありがとう。

RESTfulAPI設計に関する提案を探しています。REST APIスキーム、認証/承認の方法などについてたくさん読んだことがあります。私が判断できないのは、本当にAPIキーを使用する必要があるかどうかです。私が理解していることから、APIキーの使用は、使用状況を監視し、各アプリケーションのリクエストを制限し、統計データを取得する場合に役立ちます。

私が避けたいのは、アプリケーションの追加/管理/削除およびアプリケーション管理者の追加/削除のために追加のWebインターフェイスを作成する必要があることです。たぶん、APIキーの配布を行うためのより簡単な方法があります。それとも私は本当にそれらが必要ですか？つまり、使用状況を監視して制限することはクールで便利に聞こえますが、キーの配布のために必要な他のことを行う価値はありますか。

具体的には、私のWebサイトはslideshareやscribdのようなものです。ドキュメントの追加や管理、ユーザーに関する情報の取得などの機能にAPIアクセスを許可したいと思います。したがって、たとえばファイルをアップロードするには、何らかの方法で認証し、特定のアカウントを使用してそれを行う必要があります。この場合、APIキーが要件ですか、それともユーザーの認証に固執することができますか？

では、APIキーを処理するための最良の方法は何だと思いますか？それとも私はそれらを使用する必要がありますか？キーを配布（作成、削除）するためのより賢い方法はありますか？

前もって感謝します ：）