Apa Itu kunci API?
Kunci API adalah string alfanumerik yang digunakan developer API untuk mengontrol akses ke API mereka. API adalah mekanisme komunikasi yang memungkinkan pertukaran data antara dua modul perangkat lunak. Setelah membuat API untuk modul Anda, developer aplikasi lain dapat memanggil API tersebut untuk mengintegrasikan fungsionalitas Anda ke dalam kode mereka. Misalnya, Anda dapat mengembangkan modul yang mengambil daftar barang sebagai input dan menghasilkan daftar toko tempat Anda dapat membeli barang dengan harga terendah. Aplikasi e-commerce kemudian dapat menggunakan API Anda untuk menghasilkan daftar penawaran bahan makanan harian bagi pelanggan mereka. Sebagai pembuat API, Anda menggunakan kunci API untuk membatasi dan memantau akses API Anda. Kunci API mengidentifikasi penggunaan API resmi sehingga Anda dapat memelihara, mengelola, dan memonetisasi API Anda secara lebih efisien.
Apa saja kasus penggunaan untuk kunci API?
Developer perangkat lunak menggunakan kunci API untuk mengelola cara mengakses API yang mereka buat. Kunci API berkontribusi pada pengembangan aplikasi cloud modern dalam beberapa cara.
Pantau penggunaan API
Penyedia API menggunakan kunci API untuk melacak penggunaan dan mengelola konsumsi API, terutama untuk aplikasi komersial. Mereka menagih pengguna untuk sumber daya komputasi yang dikonsumsi API.
Sebagai penyedia API, Anda dapat membatasi akses ke layanan API dengan kunci API yang unik. Dengan hanya mengizinkan lalu lintas yang sah untuk lewat, Anda dapat mengoptimalkan pemanfaatan sumber daya dan kapasitas bandwidth API Anda. Anda juga dapat menganalisis statistik penggunaan setiap kunci untuk menyesuaikan kuota paket yang berbeda.
Pecahkan masalah integrasi API
Aplikasi cloud mungkin mengalami masalah teknis dikarenakan API yang mereka gunakan. Developer perangkat lunak menggunakan kunci API untuk mendeteksi pola data yang tidak normal dan mencocokkan lalu lintas API dengan penyedia layanan masing-masing. Dengan cara ini, mereka dapat mengidentifikasi dan mengisolasi API tertentu yang mencegah aplikasi berperilaku dengan benar.
Identifikasi proyek
Aplikasi perangkat lunak bertukar data sensitif dengan layanan eksternal melalui API. Kunci API berfungsi sebagai mekanisme otorisasi proyek untuk mengatur penggunaan oleh proyek yang diizinkan. Untuk menggunakan API, proyek harus menunjukkan kredensial API yang benar untuk mengakses fungsi perangkat lunak yang diabstraksikan. Penting untuk diperhatikan bahwa kunci API tidak mengautentikasi pengguna tertentu. Sebaliknya, mereka secara luas mengidentifikasi organisasi yang terkait dengan kunci tertentu.
Bagaimana cara kerja kunci API?
Kunci API terdiri dari karakter alfabet dan angka yang dihasilkan secara acak. Anda mengaitkan kunci API tertentu dengan klien API tertentu. Karena penggunaan API pada dasarnya adalah satu modul perangkat lunak yang berbicara dengan modul perangkat lunak yang lain, kunci dikaitkan dengan modul perangkat lunak atau aplikasi yang berbeda yang ingin berbicara dengan API Anda.
Saat aplikasi mengirimkan permintaan API, prosesnya adalah sebagai berikut:
- Server API memvalidasi keaslian pemohon dengan kunci API yang unik
- Jika kunci API tidak cocok dengan kunci yang diizinkan, server menolak panggilan API dan mengirimkan pesan penolakan
- Jika kunci API cocok, server akan memenuhi permintaan dan mengembalikan respons yang diharapkan
Dengan cara ini, kunci API memungkinkan server API mengidentifikasi asal dari setiap panggilan API. Server kemudian dapat melakukan validasi berikutnya untuk mengotorisasi akses ke data dan layanan API.
Membatasi panggilan API
Penyedia API dapat menggunakan kunci API untuk mengatur berbagai tingkat akses ke layanan API mereka. Setelah memvalidasi permintaan, server API dapat memeriksa beberapa parameter sebelum mengizinkan akses lebih lanjut ke layanannya.
Tingkat layanan
Server menentukan tingkat layanan yang dapat diberikan untuk aplikasi yang meminta. Misalnya, beberapa kunci API mengizinkan pemohon untuk menambahkan, menghapus, dan membaca informasi dari penyimpanan data API. Orang lain mungkin membatasi panggilan API hanya untuk membaca informasi.
Pilihan fungsi
Server menentukan dan menerapkan cakupan panggilan API untuk menyesuaikan layanan API mereka. Misalnya, Anda dapat menggunakan kunci API untuk membatasi aplikasi e-commerce guna mencari data produk di negara tertentu. Anda juga dapat mengaitkan kunci API tertentu ke filter parametrik basis data tertentu, seperti buku dan pakaian.
Jumlah panggilan
Penyedia API juga menggunakan kunci API untuk mengatur akses API secara ketat. Beberapa penyedia menerapkan batas waktu atau permintaan untuk API mereka. Dalam kasus seperti itu, aplikasi klien hanya dapat menggunakan API selama durasi yang ditentukan atau hingga jumlah yang dibatasi setiap hari. Setelah batas terlampaui, server menolak permintaan apa pun dari kunci API terkait.
Apa perbedaan antara kunci API dan token API?
Kunci API adalah serangkaian pengidentifikasi unik yang terutama ditujukan untuk mengidentifikasi lalu lintas aplikasi dari klien API. Kunci API biasanya dikaitkan dengan server tertentu tempat aplikasi pemanggilan dilakukan deployment. Saat aplikasi membuat permintaan API, server mengidentifikasi aplikasi panggilan dengan kunci API.
Sebaliknya, token API adalah serangkaian kode yang berisi data komprehensif yang mengidentifikasi pengguna tertentu. Token API juga membawa ruang lingkup akses yang diberikan kepada pengguna tertentu. Hal ini memungkinkan server, baik untuk mengautentikasi permintaan pengguna panggilan maupun memvalidasi tingkat penggunaan API. Misalnya, pengguna dapat menggunakan token masuk tunggal untuk mengakses grup API.
Membuat kunci API lebih mudah karena perannya yang terbatas dalam otorisasi pengguna. Sebaliknya, ada lebih banyak batasan dan prosedur saat Anda memberikan token API karena mereka membawa data identifikasi dan autentikasi.
Di Amazon Web Services (AWS), token API juga disebut token token autentikasi atau token keamanan. Developer menggunakan izin IAM, pengotorisasi Lambda, atau kolam pengguna Amazon Cognito untuk membuat token API dan mengelola akses ke API Anda.
Apa saja praktik terbaik kunci API?
Ada beberapa praktik terbaik yang perlu diingat saat Anda menggunakan kunci API.
Hindari penggunaan kunci API untuk autentikasi pengguna. Kunci API tidak dimaksudkan untuk mengatur akses pengguna. Demikian pula, jangan sertakan informasi rahasia dalam kunci API karena dapat terlihat selama transmisi.
Jangan menyematkan kunci API secara langsung di kode sumber atau repositori Anda. Jika Anda lupa menghapusnya, kunci tersebut mungkin akan terpapar ke publik saat Anda memublikasikan aplikasi Anda.
Hapus kunci API saat tidak lagi digunakan. Pertimbangkan untuk menambahkan masa berlaku pada kunci untuk keamanan API yang lebih kuat.
Bagaimana AWS dapat membantu manajemen kunci API Anda?
Amazon Web Services (AWS) menawarkan Amazon API Gateway untuk kebutuhan manajemen kunci API Anda.
Anda dapat menggunakan API Gateway untuk membuat, memublikasikan, memelihara, memantau, dan mengamankan API REST, HTTP, dan WebSocket pada skala apa pun. Developer API dapat membuat API yang mengakses AWS atau layanan web lainnya, serta data yang disimpan di AWS Cloud.
Setelah membuat, menguji, dan melakukan deployment API, Anda dapat menggunakan paket penggunaan API Gateway agar tersedia sebagai penawaran produk bagi pelanggan Anda. Anda dapat mengonfigurasikan paket penggunaan dan kunci API untuk memungkinkan pelanggan mengakses API yang dipilih. Selain itu, Anda dapat memulai permintaan throttling ke API tersebut berdasarkan batas dan kuota yang ditentukan.
Mulai manajemen kunci API di AWS dengan membuat akun sekarang juga
Langkah Berikutnya di AWS
