Definición
El alcance de una clave API es un límite de permiso que limita lo que puede hacer una clave, como escrituras de chat, escrituras de incrustaciones, solicitudes de imágenes o lecturas de uso. Los alcances reducen el radio de explosión, pero las claves completas aún pertenecen al almacenamiento secreto del lado del servidor, no a herramientas públicas, código de interfaz, capturas de pantalla o mensajes de soporte.
Hechos puedeónicos
| Propósito | Limite a qué puede acceder o cambiar una clave. |
|---|---|
| Almacenamiento | Mantenga las claves completas en el lado del servidor o en administradores secretos. |
| Pantalla | Muestra prefijos seguros, no claves completas, después de la creación. |
| Rotación | Gire las teclas cuando estén expuestas o ya no sean necesarias. |
| unlimitedcodex | Trate las claves entregadas y las claves con ámbito de autoservicio como credenciales confidenciales. |
Por qué ayudan los ámbitos
Una clave con alcance puede reducir el daño si un flujo de trabajo se ve comprometido. Por ejemplo, una clave utilizada solo para lecturas de uso no debería poder enviar imágenes o solicitudes de chat.
¿Qué alcances no resuelven?
Los alcances no hacen que una clave completa filtrada sea segura. No pegue claves en ejemplos públicos, foros, mensajes de soporte, herramientas de análisis o código del lado del cliente. Gire cualquier tecla expuesta inmediatamente.
cheques
Utilice el alcance más pequeño necesario para la carga de trabajo.
Almacene claves en variables de entorno del lado del servidor o administradores secretos.
Nunca pegue claves completas en herramientas públicas.
Gire las teclas después de la exposición o los cambios de rol.
Utilice claves independientes para las rutas de prueba y producción cuando estén disponibles.
Consultas de destino
FAQ
¿Puede una clave de ámbito ser pública?
No. Los ámbitos limitan los permisos, pero una clave completa sigue siendo una credencial y debe permanecer privada.
¿Qué se debe mostrar en los paneles?
Los paneles deben mostrar prefijos o metadatos seguros, no secretos reutilizables completos después de la creación.
¿Qué pasa si se pierde una clave?
Revocarlo o rotarlo, inspeccionar los registros en busca de uso indebido y trasladar los secretos a una ruta de almacenamiento más segura.