openai key使用限制的进一步展开说明

## OpenAPI | gRPC

在构建 API 时，我们常常需要限制对某些方法或全部方法的访问。为了实现这一目标，我们可使用 API 密钥来对客户真个访问进行限制。本文将介绍怎样设置 API 密钥的限制，并演示怎样创建 API 密钥。

### 使用 API 密钥限制访问

要限制对 API 方法的访问，我们可使用 API 密钥来实现。首先，在项目的 `openapi.yaml` 文件中进行配置。在 `securityDefinitions` 下，添加以下代码：

“`yaml
securityDefinitions:
api_key:
type: “apiKey”
name: “key”
in: “query”
“`

这样就定义了一个名为 `api_key` 的安全机制，我们可以用它来保护 API。接下来，在文件的顶层添加 `security` 指令，并将 `api_key` 添加到其中：

“`yaml
security:
– api_key: []
“`

这样就将 `api_key` 安全机制利用于文件中的所有方法。

### 限制特定方法的访问权限

如果我们只想对某些特定方法实行 API 密钥限制，可以依照以下步骤进行配置。首先，在项目的 `openapi.yaml` 文件的顶层添加一个空的 `security` 指令，将其利用于全部 API：

“`yaml
security: []
“`

然后，在 `securityDefinitions` 下添加以下代码：

“`yaml
securityDefinitions:
api_key:
type: “apiKey”
name: “key”
in: “query”
“`

这样就定义了一个名为 `api_key` 的安全机制。最后，在每一个需要限制访问权限的方法的定义中，将 `api_key` 添加到 `security` 指令中：

“`yaml
paths:
/echo:
post:
description: “Echo back a given message.”
operationId: “echo”
security:
– api_key: []
“`

这样就将 `api_key` 安全机制利用于这个方法。

### 移除对某个方法的 API 密钥限制

如果我们想要移除某个方法的 API 密钥限制，即便该方法在访问控制列表中，可以依照以下步骤进行配置。只需要在方法的定义中，添加一个空的 `security` 指令便可。

“`yaml
paths:
/echo:
post:
description: “Echo back a given message.”
operationId: “echo”
security: []
“`

### 使用 API 密钥调用 API

在调用需要 API 密钥的 API 或方法时，可以通过在要求的查询参数中添加名为 `key` 的参数来提供 API 密钥。例如，使用 curl 调用 API 的示例代码以下：

“`shell
curl “${ENDPOINTS_HOST}/echo?key=${ENDPOINTS_KEY}”
“`

其中 `ENDPOINTS_HOST` 和 `ENDPOINTS_KEY` 是包括 API 主机名和 API 密钥的环境变量。

### 共享受 API 密钥保护的 API

API 密钥与其创建时所在的 Google Cloud 项目相关联。在肯定从哪一个 Google Cloud 项目中创建 API 密钥之前，我们需要回答以下几个问题：

– 会不会需要辨别 API 的调用者以便使用 Endpoints 的配额等功能？
– API 的所有调用者会不会都有自己的 Google Cloud 项目？
– 会不会需要设置区别的 API 密钥限制？

基于这些问题，我们可以采取以下决策。

### 授与启用 API 的权限

如果我们需要辨别 API 的调用者，并且每一个调用者都有自己的 Google Cloud 项目，那末我们可以将 API 的启用权限授与每一个调用者的 Google Cloud 项目。通过这类方式，每一个调用者可以在自己的项目中创建 API 密钥，并用于访问我们的 API。

例如，假定我们的团队创建了一个 API，供公司内部的区别客户端程序使用，每一个客户端都有自己的 Google Cloud 项目。为了辨别这些调用者，我们需要在区别的 Google Cloud 项目中为每一个调用者创建 API 密钥。我们可以授与同事在与客户端程序关联的 Google Cloud 项目中启用 API 的权限，以便他们可以为自己的利用程序创建 API 密钥。

### 为每一个调用者创建一个 Google Cloud 项目和 API 密钥

如果我们需要辨别 API 的调用者，但并不是所有调用者都有自己的 Google Cloud 项目，我们可以为每一个调用者创建一个独立的 Google Cloud 项目和 API 密钥。

例如，假定我们的 API 有外部客户端，我们不肯定每一个客户端程序是怎样创建的。有些客户端可能使用了 Google Cloud 服务并具有自己的 Google Cloud 项目，而其他客户端可能没有。为了辨别这些调用者，我们需要为每一个调用者单独创建一个 Google Cloud 项目和 API 密钥。

### 为同一项目中的每一个调用者创建一个 API 密钥

如果我们不需要辨别 API 的调用者，但想要添加 API 密钥限制，我们可以为同一个项目中的每一个调用者单独创建一个 API 密钥。

要为同一项目中的每一个调用者创建一个 API 密钥，我们可以在已配置了 API 的项目中，为每一个调用者创建一个 API 密钥，并将该密钥提供给相应的调用者。

### 为所有调用者创建一个 API 密钥

如果我们不需要辨别 API 的调用者，也不需要添加 API 限制，但仍想施加 API 密钥要求（例如，禁止匿名访问），我们可以创建一个 API 密钥供所有调用者使用。

要为所有调用者创建一个 API 密钥，我们可以在已配置了 API 的项目中，为所有调用者创建一个 API 密钥，并将该密钥提供给每一个调用者。

### 最好做法

在依赖 API 密钥来保护对 API 和用户数据访问权限时，建议在配置 Extensible Service Proxy V2 (ESPv2) 启动选项时将 `–service_control_network_fail_open` 标志设置为 `close`。这样，如果连接到 Service Control 时出现网络故障，ESPv2 将没法验证 API 密钥，从而谢绝任何潜伏的讹诈性要求。

以上就是关于怎样使用 API 密钥限制对 API 方法的访问的详细介绍。希望本文对您有所帮助。

openai key使用限制的常见问答Q&A