Come posso scoraggiare la condivisione delle chiavi API interne all'interno di un'azienda?

Stiamo lavorando a un nuovo servizio: questo servizio sarà potenzialmente chiamato direttamente dalle applicazioni sui dispositivi degli utenti. Queste applicazioni saranno sviluppate e supportate da più team di sviluppo di tutta l'organizzazione, a seconda dei dati forniti.

Desideriamo identificare quali applicazioni stanno inviando quali richieste, in modo da poter identificare i modelli di utilizzo e gli sviluppatori responsabili. (A scanso di equivoci, l'autenticazione dell'utente viene gestita separatamente.)

La nostra soluzione è richiedere chiavi API, una per applicazione, quindi abbiamo i dettagli di contatto per il team di sviluppo.

Non vogliamo che le chiavi API siano fonte di attrito, ma siamo preoccupati che gli sviluppatori le condividano con colleghi di altri team, il che significa che non possiamo più identificare il traffico per una sola applicazione.

Come possiamo incentivare gli sviluppatori a non condividere le chiavi API internamente?

Per condividere le chiavi tra i team, i team devono parlare tra loro, accettare di condividerli, quindi condividerli. Questo richiede tempo. Quindi, se un team può richiedere le tue chiavi API più rapidamente e più facilmente, non c'è alcun incentivo a condividere.

E il modo più semplice per loro di richiedere quelle chiavi è quello di prevederle. Supponendo di conoscere tutti gli altri team che avranno bisogno di chiavi API, crearli e condividerli prima di rendere disponibile il servizio.

C'è un altro incentivo che puoi offrire: supporto per il debug. Quei team vorranno il tuo aiuto quando le cose non funzionano correttamente quando integrano il loro lavoro con il tuo servizio. Queste chiavi API ti consentono di tenere traccia delle loro richieste specifiche e quindi di assistere nel debug di ciò che non va. Quindi vendilo come il motivo delle chiavi, piuttosto che " identificare i modelli di utilizzo e gli sviluppatori responsabili ", che sembra che tu stia spiando le loro attività.

Buone risposte già, ho appena pensato a un approccio diverso che potrebbe o meno funzionare per te.

Anziché emettere chiavi da includere, è possibile che l'intestazione delle richieste includa il nome dell'applicazione front-end, che deve essere creata e formattata dallo sviluppatore dell'applicazione front-end, come fanno i browser Web. In questo modo i front-end potrebbero ancora pretendere di essere un'applicazione diversa, ma non ci sarebbe alcun vantaggio nel farlo, quindi sembra improbabile. Lascia che il front-end si identifichi e accetti qualsiasi stringa non vuota.

In breve:

Primo: facilitazione e benefici; Se necessario: attrito e polizia.

Qualche altra parola

Facilitazione : in primo luogo, per un team è facile ottenere una nuova chiave API. Ad esempio, aggiungere un promemoria nelle procedure aziendali per l'avvio di nuovi progetti e offrire un servizio facile da usare per richiedere nuove chiavi, senza chiedere giustificazioni.

Benefici : l'utilizzo di una propria chiave API è un vantaggio per il team o il proprietario del prodotto. Ad esempio, proporre alcuni feedback sull'utilizzo delle app in base a tale chiave.

Attrito : a seconda della funzione chiave, è possibile creare attrito, ad esempio se la chiave è collegata al dominio definito dall'app somme (ovvero il riutilizzo delle chiavi non darebbe necessariamente accesso a tutti i servizi desiderati).

Polizia : infine, potrebbe essere necessario prevedere alcune misure di polizia. Ad esempio, è possibile monitorare l'utilizzo delle funzioni API mediante il tasto API e, dopo un determinato periodo di tempo, stabilire una linea di base, un'indagine sull'uso delle parti di api che non è prevista in vista della linea di base. O se ciò non è realistico, includere semplicemente negli elenchi di controllo per la revisione dei progetti aziendali la verifica che sia stata utilizzata una chiave valida.

Nota : potrebbe essere necessario essere molto chiari sulla politica della chiave API: una nuova versione principale richiederebbe la propria chiave API? Cosa succede con un fork o se un'app è suddivisa? cosa succede se è responsabile un altro team, ecc ...

Generalmente, il modo più semplice per convincere gli sviluppatori a "fare la cosa giusta", è quello di renderlo facile per loro.

A tal fine, suggerirei di creare una pagina Web / un sito per l'emissione di una chiave API. Nella sua forma più semplice potrebbe essere solo un login (idealmente legato al tuo AD / LDAP aziendale) e la pagina che richiede solo il nome dell'applicazione e rilascia la chiave.

Alla fine della giornata puoi sempre revocare le chiavi in ​​un secondo momento, quindi tutto ciò di cui hai veramente bisogno sul sito è registrare chi (nome utente) ha richiesto la chiave e cosa (Nome applicazione) vogliono farne - insieme a tutte le informazioni necessarie per revocare la chiave in seguito.

Potresti fare qualcosa di simile con un sistema di biglietteria, ma alla fine è molto facile per me copiare e incollare una chiave da un'app all'altra, quindi deve essere davvero facile richiedere una nuova chiave, per evitare problemi comportamento.

Sii proattivo.

Identifica in anticipo i probabili sviluppatori e fornisci loro chiavi API univoche in un canale sicuro. Fornire un modo semplice per richiedere nuove chiavi API. Fornire un mezzo semplice per le nuove persone che richiedono nuove chiavi API. Quando nuovi stagisti o assunzioni si uniscono al team, dai loro un ticket JIRA o simili "Richiedi una chiave API" con i passaggi nella descrizione.

Tieni traccia di quali chiavi API sono state utilizzate e quali no. Se Bob ha inviato i biglietti nel progetto ma non ha utilizzato le sue chiavi API, probabilmente ha preso in prestito qualcun altro.

Avere il supporto della direzione. Non essere una ficcanaso Nancy che sta truccando regole che non contano. Letteralmente convincere il management che è importante, e poi sono loro a convincere il gruppo che è importante. Non lavorare per convincere tutti.

E il suggerimento più fastidioso e incline alla tirannia: essere consapevoli dell'uso improprio e reprimere lo stesso giorno. La stessa ora è la migliore. Non dire "Bad Naughty Developer" dire "Ecco i passaggi corretti". Se lo fanno ripetutamente, disabilitare la chiave utilizzata in modo improprio. Ciò disturba sia il Conduttore che Colui che ha preso in prestito, e il conduttore dirà "No, fallo correttamente" in futuro. Evitare di disabilitare le chiavi presenti nei progetti live.

Come possiamo incentivare gli sviluppatori a non condividere le chiavi API internamente?

• Generare le chiavi come risultato della registrazione dell'applicazione self-service .
• Richiedi un punto di contatto prima che le chiavi diventino attive.
• E chiedi loro di non condividere. (Crea termini di servizio e / o spiega loro perché è meglio che non condividano.)

Dovresti anche implementare la limitazione della velocità . Questo di per sé potrebbe scoraggiare la condivisione delle chiavi. Protegge il tuo sistema in una certa misura dalle applicazioni offensive. (E decisamente dannosi.) E, ti assicura di essere in qualche modo informato prima di un massiccio aumento del traffico utile. (Ti do tempo per aggiungere capacità, spero!)

E, con la limitazione della velocità, quando un'applicazione richiede un limite superiore, apre una finestra di dialogo con il POC registrato per la chiave. Hai l'opportunità di chiedere se le chiavi vengono condivise, spiegare perché ciò è dannoso e così via e puoi offrire chiavi aggiuntive quando è appropriato invece delle variazioni del limite di velocità richieste. Eccetera.

Un modo di fare le cose, specialmente se i team usano un sistema di compilazione condiviso (o almeno uno abbastanza comune) è quello di impostare un server interno che crei ed emetta chiavi API (dati alcune informazioni di base sul prodotto che lo utilizza) ). Quindi utilizzare uno script che acquisisce una nuova chiave API dal server per ogni build o per ogni aggiornamento di versione. Consenti agli sviluppatori di eseguire lo script per ottenere una chiave diversa anche per le loro build locali. (Laddove possibile, automatizza questo come parte della build in modo che non debbano nemmeno pensarci.)

Ciò ti permetterebbe di sapere se si trattava di qualcosa in produzione, QA o sviluppo e in quale versione / build sono iniziati i problemi.

La prima e migliore cosa che puoi fare è formattare le chiavi in ​​modo che includano il nome dell'applicazione in un formato facilmente leggibile e non funzionino se lo cambi.

Se è ovvio quando le squadre usano la chiave sbagliata, si sforzano di non farlo.

Quindi, scadono periodicamente le chiavi. Dovresti farlo comunque , e quando una chiave sta per scadere puoi inviarne una nuova alla squadra che la possiede. Il team che utilizza una chiave sarà quindi motivato per assicurarsi di essere la squadra proprietaria, in modo da ottenere quella nuova quando scade.