_CORE
Služby
AI & Agentic Systems Core Informační Systémy Cloud & Platform Engineering Data Platforma & Integrace Security & Compliance QA, Testing & Observability IoT, Automatizace & Robotika Mobile & Digital
Odvětví
Banky & Finance Pojišťovnictví Veřejná správa Obrana & Bezpečnost Zdravotnictví Energetika & Utility Telco & Média Průmysl & Výroba Logistika & E-commerce Retail & Loyalty
Reference Technologie Blog Knowledge Base O nás Spolupráce Kariéra
Pojďme to probrat

API Key Management — správa API klíčů

01. 01. 2024 1 min čtení intermediate

API klíče jsou nejjednodušší forma autentizace — a nejčastěji kompromitovaná. Klíče v GitHubu, ve frontendu, bez expirace.

Generování

import secrets, hashlib def generate_api_key(prefix=”sk”): raw = secrets.token_urlsafe(32) full = f”{prefix}_{raw}” hash = hashlib.sha256(full.encode()).hexdigest() return full, hash # full → uživateli JEDNOU, hash → do DB

Ukládání

❌ API_KEY = “sk_live_abc123” # V kódu!

✅ os.environ[‘STRIPE_API_KEY’]

✅ Secret manager (Vault, AWS SM, Azure KV)

Best practices

  1. Hashujte klíče v DB (SHA-256)
  2. Prefix pro rozlišení (sk_live_, sk_test_)
  3. Expirace a rotace
  4. Scope — minimální oprávnění per klíč
  5. Pre-commit hooks (gitleaks, truffleHog)

Klíčový takeaway

API klíče hashujte, rotujte, omezujte scope. Nikdy necommitujte do Gitu.

securityapiklíčemanagement

Další know-how

CORS konfigurace — Cross-Origin Resource Sharing

Správná konfigurace CORS. Preflight requesty, Access-Control hlavičky.

OAuth 2.0 a JWT — moderní autentizace pro mikroslužby

Jak implementovat OAuth 2.0 a JSON Web Tokens pro zabezpečení REST API a mikroslužeb.

JWT best practices — JSON Web Tokens správně

Bezpečné použití JWT. Podpisy, expirace, refresh tokeny, typické chyby.