Api Key

คำจำกัดความ

API key คือสตริงของตัวอักษรที่ทำหน้าที่เป็นข้อมูลรับรองด้านความปลอดภัยแบบง่าย ๆ สำหรับการเข้าถึง application programming interface (API) โดยจะใช้ระบุแอปพลิเคชันหรือผู้ใช้ที่เรียกใช้งานไปยังบริการที่ให้ API และมักใช้เป็นรูปแบบพื้นฐานของการยืนยันตัวตน ในหลายระบบ โดยเฉพาะบริการบนเว็บและบริการที่เกี่ยวข้องกับคริปโต API key จะถูกแนบไปกับทุกคำขอ (request) เพื่อให้เซิร์ฟเวอร์ตัดสินใจได้ว่าจะอนุญาตหรือปฏิเสธการเข้าถึง แม้จะช่วยควบคุมการเข้าถึงได้ แต่โดยทั่วไปแล้ว API key เพียงอย่างเดียวถือเป็นกลไกความปลอดภัยที่ค่อนข้างเบา และมักถูกใช้ร่วมกับวิธีการยืนยันตัวตนที่แข็งแรงกว่านี้

ในบริบทของคริปโตและเทคโนโลยีบล็อกเชน (blockchain) API key ถูกใช้บ่อยในการเชื่อมต่อ wallet, บอทเทรด, เครื่องมือวิเคราะห์ หรือซอฟต์แวร์อื่น ๆ เข้ากับ exchange หรือผู้ให้บริการข้อมูลบล็อกเชน โดย key จะเชื่อมโยงกิจกรรมต่าง ๆ กลับไปยังบัญชีหรือโปรเจกต์ใดโปรเจกต์หนึ่ง ทำให้สามารถกำหนดขีดจำกัดการใช้งาน (rate limit) สิทธิ์การเข้าถึง และการบันทึก log ได้ เนื่องจาก API key สามารถให้สิทธิ์เข้าถึงการกระทำหรือข้อมูลที่อาจมีความอ่อนไหว จึงต้องถูกปฏิบัติให้เป็นความลับและต้องเก็บรักษาอย่างปลอดภัย หากถูกเปิดเผย อาจทำให้บุคคลที่ไม่ได้รับอนุญาตสามารถโต้ตอบกับ API ได้ราวกับเป็นลูกค้าที่ถูกต้องตามสิทธิ์

อธิบายแบบง่าย ๆ

API key เปรียบเหมือนรหัสลับประจำตัวที่แอปใช้ยื่นให้บริการเพื่อพิสูจน์ว่า “ฉันคือใคร” เมื่อโปรแกรมสื่อสารกับบริการออนไลน์ มันจะส่ง key นี้ไปด้วย เพื่อให้บริการรู้ว่าแอปไหนเป็นคนส่งคำขอ จากนั้นบริการจะใช้ key นี้ตัดสินใจว่าแอปนั้นมีสิทธิ์เห็นหรือทำอะไรได้บ้าง ด้วยเหตุนี้ API key จึงเกี่ยวข้องอย่างใกล้ชิดกับการยืนยันตัวตน และต้องได้รับการปกป้องไม่ให้ถูกแชร์หรือรั่วไหล