📅 February 02, 2026
10 دقيقة قراءة
Backend & APIs

تُعد مفاتيح واجهة برمجة التطبيقات (API Keys) طريقة شائعة لتأمين واجهات برمجة التطبيقات، حيث توفر وسي

تُعد مفاتيح واجهة برمجة التطبيقات (API Keys) طريقة شائعة لتأمين واجهات برمجة التطبيقات، حيث توفر وسيلة لتحديد وتوثيق التطبيقات المتصلة. على الرغم من أنها ليست قوية مثل OAuth أو JWT للمصادقة على مستوى المستخدم، إلا أنها فعالة للمصادقة بين التطبيقات وتحديد المعدل.

Intermediate

تُعد مفاتيح واجهة برمجة التطبيقات (API Keys) طريقة شائعة لتأمين واجهات برمجة التطبيقات، حيث توفر وسيلة لتحديد وتوثيق التطبيقات المتصلة. على الرغم من أنها ليست قوية مثل OAuth أو JWT للمصادقة على مستوى المستخدم، إلا أنها فعالة للمصادقة بين التطبيقات وتحديد المعدل.

1. ما هي مفاتيح واجهة برمجة التطبيقات (API Keys)؟

مفتاح واجهة برمجة التطبيقات هو معرف فريد يتم تمريره في كل طلب لواجهة برمجة التطبيقات. يتكون عادةً من سلسلة عشوائية من الأحرف. عندما يقوم تطبيق بإجراء طلب إلى واجهة برمجة تطبيقات، فإنه يتضمن مفتاح واجهة برمجة التطبيقات الخاص به، مما يسمح لواجهة برمجة التطبيقات بتحديد التطبيق وتحديد ما إذا كان لديه الإذن بالوصول إلى المورد المطلوب.

2. إنشاء وتوزيع مفاتيح واجهة برمجة التطبيقات

  • الإنشاء: يجب أن تكون مفاتيح واجهة برمجة التطبيقات عبارة عن سلاسل عشوائية طويلة ومعقدة. تجنب استخدام أنماط يمكن التنبؤ بها.
  • الإنشاء الآمن: استخدم مولد أرقام عشوائي آمن تشفيرياً لإنشاء المفاتيح.
  • التوزيع:
    • قم بتوفير المفاتيح للمطورين من خلال بوابة آمنة أو واجهة برمجة تطبيقات.
    • تجنب ترميز المفاتيح مباشرة في التعليمات البرمجية من جانب العميل (تطبيقات الهاتف المحمول، JavaScript الواجهة الأمامية) حيث يمكن كشفها بسهولة.
    • للاتصال من خادم إلى خادم، يمكن تخزين المفاتيح بأمان في متغيرات البيئة أو نظام إدارة الأسرار.

3. تنفيذ مصادقة مفتاح واجهة برمجة التطبيقات

  • في رؤوس الطلب: الممارسة الأكثر شيوعًا والموصى بها هي تمرير مفتاح واجهة برمجة التطبيقات في رأس HTTP مخصص، مثل X-API-Key أو Authorization: ApiKey YOUR_API_KEY.
    • مثال على الرأس: X-API-Key: abcdef1234567890
  • في معلمات الاستعلام (أقل أمانًا): على الرغم من إمكانية ذلك، إلا أنه لا يُنصح عمومًا بتمرير مفاتيح واجهة برمجة التطبيقات في معلمات استعلام عنوان URL (على سبيل المثال، ?api_key=abcdef1234567890) لأن عناوين URL يمكن تسجيلها في سجلات الخادم أو محفوظات المتصفح أو كشفها بطرق أخرى.
  • التحقق من جانب الخادم:
    • يجب على خادم واجهة برمجة التطبيقات الخاص بك التحقق من صحة مفتاح واجهة برمجة التطبيقات مع كل طلب.
    • تحقق مما إذا كان المفتاح موجودًا ونشطًا ولديه الأذونات اللازمة للمورد المطلوب.
    • إذا كان المفتاح غير صالح أو مفقودًا، فقم بإرجاع استجابة خطأ مناسبة (على سبيل المثال، 401 Unauthorized أو 403 Forbidden).

4. أفضل الممارسات لأمان مفاتيح واجهة برمجة التطبيقات

  • لا تقم أبدًا بترميز المفاتيح: كما ذكرنا، تجنب تضمين المفاتيح مباشرة في التعليمات البرمجية من جانب العميل.
  • استخدم HTTPS: استخدم HTTPS دائمًا لتشفير مفاتيح واجهة برمجة التطبيقات أثناء النقل.
  • تدوير المفاتيح: قم بتدوير مفاتيح واجهة برمجة التطبيقات بانتظام، خاصة إذا كنت تشك في اختراق مفتاح. قم بتنفيذ عملية لإنشاء مفاتيح جديدة وإلغاء المفاتيح القديمة.
  • أقل الامتيازات: امنح مفاتيح واجهة برمجة التطبيقات الأذونات التي تحتاجها فقط لأداء وظيفتها المقصودة.
  • تحديد المعدل: قم بتطبيق تحديد المعدل بناءً على مفاتيح واجهة برمجة التطبيقات لمنع إساءة الاستخدام وحماية واجهة برمجة التطبيقات الخاصة بك من هجمات الحرمان من الخدمة.
  • المراقبة والتدقيق: راقب استخدام مفاتيح واجهة برمجة التطبيقات بحثًا عن أي نشاط مشبوه واحتفظ بسجلات التدقيق.
  • الإلغاء: ضع عملية واضحة لإلغاء المفاتيح المخترقة أو غير المستخدمة.
  • نظام إدارة المفاتيح: للتطبيقات الأكبر حجمًا، ضع في اعتبارك استخدام نظام مخصص لإدارة مفاتيح واجهة برمجة التطبيقات.

من خلال اتباع هذه الإرشادات، يمكنك استخدام مفاتيح واجهة برمجة التطبيقات بفعالية لتأمين واجهة برمجة التطبيقات الخاصة بك والتحكم في الوصول إلى مواردك.