Cos’è una chiave API?

Per accedere a un programma o a un’applicazione tramite un’interfaccia di programmazione, è necessaria una chiave API. La chiave API è una chiave unica costituita da una stringa di caratteri segreti che autorizza l’accesso. Grazie a essa, l’API riconosce chi ha l’autorizzazione e protegge i programmi e i sistemi da accessi non consentiti. È opportuno utilizzare una chiave API separata per ogni progetto e applicazione.

Chiave API: definizione

Le interfacce di programmazione, meglio note come API (Application Programming Interface), vengono utilizzate per collegare e scambiare funzionalità tra due programmi. Le API consentono ad applicazioni, app o progetti la possibilità di interagire con altri servizi o programmi. Attraverso esse, chi si occupa di programmazione può controllare e amministrare le autorizzazioni per le richieste tra le API e i formati dei dati utilizzati.

Le chiavi API, in inglese “API key”, sono chiavi di autenticazione uniche in grado di controllare gli accessi alle API. Queste chiavi possono essere richieste, ad esempio, tramite gli operatori API corrispondenti. Se l’utente o l’applicazione dispone della chiave adeguata, il server API concede l’accesso.

Come funziona una chiave API?

Le chiavi API funzionano in modo simile alle password. Non appena un’API “chiama” un’altra API e richiede l’accesso, l’autorizzazione all’accesso viene concessa tramite lo scambio della chiave API. La chiave API viene assegnata al servizio o programma chiamante e trasmessa al server API. Se il server API conferma l’autenticità della chiave API, viene concesso l’accesso al programma o a determinate funzionalità. Inoltre, le chiavi API possono essere utilizzate per eseguire azioni trasversali alle applicazioni tramite le interfacce API.

Le regole di accesso, i formati dei dati e l’ambito delle azioni sono definiti dagli operatori API. In questo modo, è possibile determinare esattamente quale tipo di utente o progetto riceve i permessi di accesso e quali azioni sono consentite attraverso le interfacce di programmazione. Le chiavi API possono anche essere integrate direttamente in linguaggi di programmazione come JavaScript o Python. In questo caso l’utente o il servizio richiederà la chiave in JavaScript al server API corrispondente.

A che cosa servono le chiavi API?

Le chiavi API sono utilizzate principalmente per le seguenti funzioni:

• Identificazione: una chiave API è in grado di identificare le API, i progetti o i servizi “chiamanti” per il server API. Ciò consente di tenere traccia di chi ha richiesto l’accesso, chi lo ha ricevuto o a chi è stato negato.
• Autenticazione: lo scambio della chiave API consente di verificare se i client sono effettivamente autorizzati ad accedere. Inoltre, viene verificato se l’API richiesta è attiva.
• Autorizzazione: una volta identificato il progetto o il servizio, le regole di accesso del server API determinano in che misura concedere l’accesso.

Come richiedere una chiave API

Le modalità di richiesta o di assegnazione delle chiavi API dipendono dall’API a cui si desidera connettersi. Le regole di accesso variano a seconda del tipo di operatore API. Di norma, tuttavia, l’assegnazione delle chiavi API segue questo schema:

• Si richiama la pagina del provider tramite la cui API deve avvenire l’accesso e si accede alla pagina relativa alle attività di sviluppo.
• Si selezionano le chiavi API per i progetti esistenti o per la creazione di nuovi progetti.
• Per una migliore assegnazione, è possibile dare un nome alla chiave API.
• Una volta creata e assegnata la chiave API, questa può essere inserita nel sito web o nell’applicazione per un successivo accesso e trasferimento di dati. A questo punto, in caso di ulteriori chiamate, il server API è in grado di riconoscere l’applicazione chiamante tramite la chiave API.

Vantaggi delle chiavi API

I vantaggi delle chiavi API riguardano l’autenticazione semplice e veloce dei permessi di accesso per l’utente, il servizio o il programma. Ciò è particolarmente vero quando si collegano applicazioni diverse per scambiare dati o eseguire azioni trasversali ai programmi. Le chiavi di autenticazione offrono vantaggi anche a chi programma o crea un’applicazione e accede a un programma tramite API. I server API possono utilizzare chiavi simili a password per impedire l’accesso al sistema da parte di persone non autorizzate.

Le seguenti funzioni forniscono chiavi API per processi di autenticazione più complessi ed efficaci:

• Registrazione di API, programmi, servizi o progetti che desiderano accedere a specifiche API.
• I server API e gli operatori API definiscono i permessi di accesso per determinare il tipo di azioni e di accesso che le API possono autorizzare.
• Panoramica degli accessi precedenti, sia consentiti che negati.
• Le chiavi API forniscono una sicurezza aggiuntiva in quanto chiavi uniche, monouso e segrete.
• Abilitazione del blocco del traffico di rete non identificabile.
• Può limitare il numero di chiamate a un’API e quindi contenerne il carico di lavoro.
• È possibile filtrare meglio i tipi di accesso o i modelli specifici e assegnarli a determinate chiavi API.

Che ruolo hanno le chiavi API nell’ambito della sicurezza?

Le chiavi API da sole non sono una misura di sicurezza sufficiente, ma forniscono piuttosto un livello aggiuntivo di sicurezza dell’accesso. Poiché le chiavi API sono di proprietà dei client, in modo simile alle password, esiste il rischio che possano essere rubate da hacker. Come nel caso di una password rubata, le chiavi API rubate e non crittografate possono consentire rapidamente l’accesso di terze parti a un sistema. Le chiavi API di solito rimangono visibili nei log dei server, permettendo alla criminalità informatica di accedere al sistema in maniera apparentemente autorizzata. Le chiavi API vengono spesso utilizzate in attacchi informatici, come attacchi DDoS, attacchi man in the middle e injection.

Con le chiavi API è necessario tenere presente i seguenti aspetti riguardanti la sicurezza:

• Le chiavi API non identificano l’utente specifico, ma solo le API o i programmi che richiedono l’accesso.
• A differenza delle password, le chiavi API di solito non vengono memorizzate in modo criptato lato client e rimangono visibili nei log del server.
• Le chiavi API, così come le password non sicure, possono essere rubate per accedere a un’applicazione.

Come utilizzare le chiavi API in modo sicuro

Poiché i programmi scambiano dati sensibili tramite API e concedono l’accesso alle applicazioni interne, è importante disporre di una sicurezza API affidabile. Le misure di sicurezza che dovrebbero essere adattate per aumentare la protezione delle API includono:

• L’accesso alle chiavi API memorizzate lato client deve rimanere limitato e protetto.
• Le chiavi API non più necessarie devono essere eliminate.
• È necessario criptare le chiavi API memorizzate come credenziali a riposo per impedirne il furto.
• Le chiavi API non devono essere integrate nel codice in modo chiaramente leggibile o memorizzate nella struttura sorgente.
• L’uso e l’applicazione delle chiavi API devono essere monitorati, ad esempio se chi si occupa della programmazione utilizza API REST per OpenAPI.

Chiavi API e protezione dei dati

Un altro aspetto importante delle chiavi API è la protezione dei dati. La questione inizia già quando si installa una nuova applicazione sul telefono cellulare che richiede permessi aggiuntivi. A volte, non è possibile controllare esattamente quali autorizzazioni vengono richieste da un’applicazione. Nel caso di servizi discutibili, si potrebbe involontariamente consentire l’accesso a tutti i dati di Facebook, alle foto o alla memoria del dispositivo. Questo potrebbe permettere all’applicazione di visualizzare ed entrare in possesso dei tuoi dati sensibili o, in casi estremi, persino di prendere il controllo dell’intero sistema. Pertanto, per evitare un uso improprio dei tuoi dati, assicurati di consentire l’accesso tramite chiave API solo alle app attendibili.