È stato suggerito al mio collega e a me di proteggere con password la nostra API oltre a richiedere una chiave API. Questo non sembra che stia rendendo tutto più sicuro poiché se la minaccia ha ottenuto l'accesso alla nostra chiave API, presumibilmente hanno anche ottenuto l'accesso alla password.
Questa pratica standard è protetta con una chiave API e una password? Ho cercato in giro ma non ho visto nulla che suggerisse di farlo.
Il punto di una chiave API è di autenticare (o almeno identificare) l'applicazione, e non l'utente. Qualcosa chiamato "chiave API" non determina in genere i dati a cui una richiesta è autorizzata ad accedere, ma quante richieste possono essere fatte in un determinato intervallo di tempo attraverso un determinato account utente. È un modo per imporre quote di accesso, per evitare denial of service, senza bloccare completamente un utente solo perché ha usato un'app buggy o lo ha usato un po 'più di quanto avrebbe voluto.
Se la tua API pubblica dati pubblici, non c'è motivo di avere una password oltre alla chiave API. La chiave API è la password, in questo caso.
Leggi altre domande sui tag api key-management appsec