แนวทางที่ดีที่สุดในการสร้างคีย์ API ใหม่คืออะไร

Question 1

ดังนั้นด้วยบริการที่แตกต่างกันมากมายในตอนนี้ Google APIs, Twitter API, Facebook API และอื่น ๆ

แต่ละบริการมีคีย์ API เช่น:

AIzaSyClzfrOzB818x55FASHvX4JuGQciR9lv7q

คีย์ทั้งหมดมีความยาวและอักขระที่แตกต่างกันไปฉันสงสัยว่าวิธีที่ดีที่สุดในการสร้างคีย์ API คืออะไร?

ฉันไม่ได้ขอภาษาใดภาษาหนึ่งเป็นเพียงวิธีการทั่วไปในการสร้างคีย์หากเป็นการเข้ารหัสรายละเอียดของแอปผู้ใช้หรือแฮชหรือแฮชของสตริงแบบสุ่ม ฯลฯ เราควรกังวลเกี่ยวกับอัลกอริทึมแฮช (MSD, SHA1, bcrypt) ฯลฯ ?

แก้ไข: ฉันได้พูดคุยกับเพื่อนสองสามคน (อีเมล / ทวิตเตอร์) และพวกเขาแนะนำให้ใช้ GUID โดยมีเครื่องหมายขีดกลาง

ดูเหมือนว่าจะเป็นเรื่องเล็กน้อยสำหรับฉัน แต่หวังว่าจะได้รับแนวคิดเพิ่มเติม

Question 2

ใช้ตัวสร้างตัวเลขสุ่มที่ออกแบบมาสำหรับการเข้ารหัส จากนั้นฐาน -64 เข้ารหัสหมายเลข

นี่คือตัวอย่าง C #:

var key = new byte[32];
using (var generator = RandomNumberGenerator.Create())
    generator.GetBytes(key);
string apiKey = Convert.ToBase64String(key);

Question 3

คีย์ API ต้องมีคุณสมบัติที่:

ระบุผู้ใช้ API ที่ได้รับอนุญาตโดยไม่ซ้ำกัน - ส่วน "คีย์" ของ "คีย์ API"
รับรองความถูกต้องของผู้ใช้นั้น - ไม่สามารถคาดเดา / ปลอมแปลงได้
สามารถเพิกถอนได้หากผู้ใช้ทำงานผิดปกติ - โดยทั่วไปแล้วพวกเขาจะป้อนข้อมูลในฐานข้อมูลที่สามารถลบบันทึกได้

โดยปกติคุณจะมีคีย์ API หลายพันหรือหลายล้านคีย์ไม่ใช่เป็นพันล้านคีย์ดังนั้นจึงไม่จำเป็นต้อง:

เก็บข้อมูลเกี่ยวกับผู้ใช้ API ได้อย่างน่าเชื่อถือเนื่องจากสามารถเก็บไว้ในฐานข้อมูลของคุณได้

ด้วยเหตุนี้วิธีหนึ่งในการสร้างคีย์ API คือการรับข้อมูลสองส่วน:

หมายเลขซีเรียลเพื่อรับประกันความเป็นเอกลักษณ์
บิตสุ่มเพียงพอที่จะกดคีย์ออก

และลงนามโดยใช้ความลับส่วนตัว

ตัวนับรับประกันว่าพวกเขาระบุผู้ใช้โดยไม่ซ้ำกันและการลงนามป้องกันการปลอมแปลง การเพิกถอนต้องตรวจสอบว่าคีย์ยังคงถูกต้องในฐานข้อมูลก่อนที่จะดำเนินการใด ๆ ที่ต้องมีการอนุญาตคีย์ API

ตัวสร้าง GUID ที่ดีคือการประมาณตัวนับที่เพิ่มขึ้นที่ค่อนข้างดีหากคุณต้องการสร้างคีย์จากศูนย์ข้อมูลหลายแห่งหรือไม่มีวิธีการกระจายที่ดีในการกำหนดหมายเลขซีเรียล

หรือแฮชของสตริงสุ่ม

การแฮชไม่ได้ป้องกันการปลอมแปลง การลงนามคือสิ่งที่รับประกันว่ากุญแจมาจากคุณ

Question 4

ฉันใช้ UUID ซึ่งจัดรูปแบบเป็นตัวพิมพ์เล็กโดยไม่มีขีดกลาง

การสร้างเป็นเรื่องง่ายเนื่องจากภาษาส่วนใหญ่มีอยู่ในตัว

คีย์ API อาจถูกบุกรุกได้ในกรณีนี้ผู้ใช้อาจต้องการยกเลิกคีย์ API และสร้างคีย์ใหม่ดังนั้นวิธีการสร้างคีย์ของคุณต้องสามารถตอบสนองความต้องการนี้ได้

Question 5

หากคุณต้องการคีย์ API ที่มีอักขระที่เป็นตัวเลขและตัวอักษรเท่านั้นคุณสามารถใช้วิธีการสุ่มแบบ base64โดยใช้การเข้ารหัสพื้นฐาน 62 แทน ฐาน-62 เข้ารหัสอยู่บนพื้นฐานนี้

public static string CreateApiKey()
{
    var bytes = new byte[256 / 8];
    using (var random = RandomNumberGenerator.Create())
        random.GetBytes(bytes);
    return ToBase62String(bytes);
}

static string ToBase62String(byte[] toConvert)
{
    const string alphabet = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ";
    BigInteger dividend = new BigInteger(toConvert);
    var builder = new StringBuilder();
    while (dividend != 0) {
        dividend = BigInteger.DivRem(dividend, alphabet.Length, out BigInteger remainder);
        builder.Insert(0, alphabet[Math.Abs(((int)remainder))]);
    }
    return builder.ToString();
}

Question 6

คีย์ API ควรเป็นค่าสุ่ม สุ่มมากพอที่จะไม่สามารถคาดเดาได้ ไม่ควรมีรายละเอียดของผู้ใช้หรือบัญชีที่มีไว้สำหรับ การใช้ UUID เป็นความคิดที่ดีหากคุณมั่นใจว่า ID ที่สร้างขึ้นนั้นเป็นแบบสุ่ม

Windows เวอร์ชันก่อนหน้านี้ได้สร้าง GUID ที่คาดเดาได้เป็นต้น แต่นี่เป็นเรื่องเก่า