नई एपीआई कुंजी बनाने के लिए सबसे अच्छा तरीका क्या है?

तो अब के आसपास विभिन्न सेवाओं के बहुत से, गूगल एपीआई, ट्विटर एपीआई, फेसबुक एपीआई, आदि।

प्रत्येक सेवा की एक API कुंजी होती है, जैसे:

AIzaSyClzfrOzB818x55FASHvX4JuGQciR9lv7q

सभी कुंजियाँ लंबाई में भिन्न होती हैं और जिन वर्णों में वे होते हैं, मैं सोच रही हूँ कि एपीआई कुंजी बनाने के लिए सबसे अच्छा तरीका क्या है?

मैं एक विशिष्ट भाषा के लिए नहीं कह रहा हूं, बस चाबियाँ बनाने के लिए सामान्य दृष्टिकोण, क्या उन्हें उपयोगकर्ताओं के ऐप, या एक हैश, या एक यादृच्छिक स्ट्रिंग के हैश, आदि के विवरण का एक एन्क्रिप्शन होना चाहिए, क्या हमें हैश एल्गोरिथ्म के बारे में चिंता करनी चाहिए (MSD, SHA1, bcrypt) आदि?

संपादित करें: मैंने कुछ दोस्तों (ईमेल / ट्विटर) से बात की है और उन्होंने छीन लिए गए डैश के साथ बस GUID का उपयोग करने की सिफारिश की है।

हालांकि यह मेरे लिए थोड़ा हैकिंग लगता है, लेकिन कुछ और विचारों को पाने की उम्मीद है।

क्रिप्टोग्राफी के लिए डिज़ाइन किए गए एक यादृच्छिक संख्या जनरेटर का उपयोग करें। फिर बेस -64 नंबर को एनकोड करें।

यह एक C # उदाहरण है:

var key = new byte[32];
using (var generator = RandomNumberGenerator.Create())
    generator.GetBytes(key);
string apiKey = Convert.ToBase64String(key);

API कुंजियों में वे गुण होने चाहिए जो वे:

• विशिष्ट API उपयोगकर्ता की विशिष्ट पहचान करें - "API कुंजी" का "कुंजी" भाग
• उस उपयोगकर्ता को प्रमाणित करें - अनुमान नहीं लगाया जा सकता है / जाली है
• यदि कोई उपयोगकर्ता दुर्व्यवहार करता है, तो उसे रद्द किया जा सकता है - आम तौर पर वे एक डेटाबेस में कुंजी डालते हैं जो एक रिकॉर्ड हटाए जा सकते हैं।

आमतौर पर आपके पास हज़ारों या लाखों API कुंजियाँ नहीं होतीं, इसलिए उन्हें इसकी आवश्यकता नहीं होती है:

• विश्वसनीय रूप से एपीआई उपयोगकर्ता के बारे में जानकारी संग्रहीत करें क्योंकि यह आपके डेटाबेस में संग्रहीत किया जा सकता है।

जैसे, API कुंजी जनरेट करने का एक तरीका दो जानकारी लेना है:

1. विशिष्टता की गारंटी के लिए एक सीरियल नंबर
2. कुंजी को पैड करने के लिए पर्याप्त यादृच्छिक बिट्स

और एक निजी रहस्य का उपयोग करके उन पर हस्ताक्षर करें।

काउंटर गारंटी देता है कि वे विशिष्ट रूप से उपयोगकर्ता की पहचान करते हैं, और हस्ताक्षर जालसाजी को रोकता है। रीवोकेबिलिटी के लिए यह जांचना आवश्यक है कि एपीआई कुछ भी करने से पहले डेटाबेस में कुंजी मान्य है।

एक अच्छा GUID जनरेटर एक वृद्धावस्था काउंटर का एक बहुत अच्छा सन्निकटन है, यदि आपको कई डेटा केंद्रों से कुंजी उत्पन्न करने की आवश्यकता है या सीरियल नंबर असाइन करने के लिए एक अच्छा वितरित तरीका नहीं है।

या एक यादृच्छिक स्ट्रिंग का हैश

हैशिंग जालसाजी को नहीं रोकता है। हस्ताक्षर करना इस बात की गारंटी है कि कुंजी आपके पास से आई है।

मैं यूयूआईडी का उपयोग करता हूं, बिना डैश के निचले मामले में स्वरूपित।

सृजन आसान है क्योंकि अधिकांश भाषाओं ने इसे बनाया है।

एपीआई कुंजियों से समझौता किया जा सकता है, जिस स्थिति में कोई उपयोगकर्ता अपनी एपीआई कुंजी को रद्द करना और एक नया उत्पन्न करना चाहता है, इसलिए आपकी कुंजी पीढ़ी विधि इस आवश्यकता को पूरा करने में सक्षम होनी चाहिए।

यदि आप केवल अल्फ़ान्यूमेरिक वर्णों के साथ एक एपीआई कुंजी चाहते हैं, तो आप बेस 64-यादृच्छिक दृष्टिकोण के एक संस्करण का उपयोग कर सकते हैं , केवल इसके बजाय एक बेस -62 एन्कोडिंग का उपयोग कर सकते हैं। आधार-62 एनकोडर पर आधारित है यह ।

public static string CreateApiKey()
{
    var bytes = new byte[256 / 8];
    using (var random = RandomNumberGenerator.Create())
        random.GetBytes(bytes);
    return ToBase62String(bytes);
}

static string ToBase62String(byte[] toConvert)
{
    const string alphabet = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ";
    BigInteger dividend = new BigInteger(toConvert);
    var builder = new StringBuilder();
    while (dividend != 0) {
        dividend = BigInteger.DivRem(dividend, alphabet.Length, out BigInteger remainder);
        builder.Insert(0, alphabet[Math.Abs(((int)remainder))]);
    }
    return builder.ToString();
}

एक एपीआई कुंजी कुछ यादृच्छिक मूल्य होना चाहिए। रैंडम पर्याप्त है कि यह भविष्यवाणी नहीं की जा सकती। इसमें उपयोगकर्ता या खाते का कोई भी विवरण नहीं होना चाहिए। यूयूआईडी का उपयोग करना एक अच्छा विचार है, यदि आप निश्चित हैं कि बनाई गई आईडी यादृच्छिक हैं।

उदाहरण के लिए, विंडोज के पहले के संस्करणों ने पूर्वानुमानित GUID का उत्पादन किया था, लेकिन यह एक पुरानी कहानी है।