📅 February 02, 2026
10 মিনিট পড়া
Backend & APIs

এপিআই কী হল এপিআই সুরক্ষিত করার একটি সাধারণ পদ্ধতি, যা কলিং অ্যাপ্লিকেশনগুলিকে সনাক্ত এবং প্রমাণীকরণ

এপিআই কী হল এপিআই সুরক্ষিত করার একটি সাধারণ পদ্ধতি, যা কলিং অ্যাপ্লিকেশনগুলিকে সনাক্ত এবং প্রমাণীকরণের একটি উপায় সরবরাহ করে। যদিও এটি ব্যবহারকারী-স্তরের প্রমাণীকরণের জন্য OAuth বা JWT-এর মতো শক্তিশালী নয়, তবে এটি অ্যাপ্লিকেশন-থেকে-অ্যাপ্লিকেশন প্রমাণীকরণ এবং রেট লিমিটিংয়ের জন্য কার্যকর।

Intermediate

এপিআই কী হল এপিআই সুরক্ষিত করার একটি সাধারণ পদ্ধতি, যা কলিং অ্যাপ্লিকেশনগুলিকে সনাক্ত এবং প্রমাণীকরণের একটি উপায় সরবরাহ করে। যদিও এটি ব্যবহারকারী-স্তরের প্রমাণীকরণের জন্য OAuth বা JWT-এর মতো শক্তিশালী নয়, তবে এটি অ্যাপ্লিকেশন-থেকে-অ্যাপ্লিকেশন প্রমাণীকরণ এবং রেট লিমিটিংয়ের জন্য কার্যকর।

1. এপিআই কী কী?

একটি এপিআই কী হল একটি অনন্য শনাক্তকারী যা প্রতিটি এপিআই রিকোয়েস্টে পাস করা হয়। এটি সাধারণত এলোমেলোভাবে তৈরি অক্ষরের একটি স্ট্রিং নিয়ে গঠিত। যখন কোনও অ্যাপ্লিকেশন একটি এপিআই-তে রিকোয়েস্ট করে, তখন এটি তার এপিআই কী অন্তর্ভুক্ত করে, যা এপিআই-কে অ্যাপ্লিকেশনটি সনাক্ত করতে এবং এটি অনুরোধ করা রিসোর্সে অ্যাক্সেস করার অনুমতি আছে কিনা তা নির্ধারণ করতে দেয়।

2. এপিআই কী তৈরি এবং বিতরণ করা

  • তৈরি: এপিআই কীগুলি এলোমেলোভাবে তৈরি, দীর্ঘ এবং জটিল স্ট্রিং হওয়া উচিত। অনুমানযোগ্য প্যাটার্ন ব্যবহার করা এড়িয়ে চলুন।
  • নিরাপদ তৈরি: কী তৈরি করতে ক্রিপ্টোগ্রাফিকভাবে সুরক্ষিত র্যান্ডম নম্বর জেনারেটর ব্যবহার করুন।
  • বিতরণ:
    • একটি সুরক্ষিত পোর্টাল বা এপিআই-এর মাধ্যমে ডেভেলপারদের কাছে কী সরবরাহ করুন।
    • ক্লায়েন্ট-সাইড কোডে (মোবাইল অ্যাপ, ফ্রন্ট-এন্ড জাভাস্ক্রিপ্ট) সরাসরি কী হার্ডকোড করা এড়িয়ে চলুন যেখানে সেগুলি সহজেই প্রকাশ করা যেতে পারে।
    • সার্ভার-টু-সার্ভার যোগাযোগের জন্য, কীগুলি এনভায়রনমেন্ট ভেরিয়েবল বা সিক্রেট ম্যানেজমেন্ট সিস্টেমে নিরাপদে সংরক্ষণ করা যেতে পারে।

3. এপিআই কী প্রমাণীকরণ বাস্তবায়ন

  • রিকোয়েস্ট হেডারে: সবচেয়ে সাধারণ এবং প্রস্তাবিত অভ্যাস হল একটি কাস্টম HTTP হেডারে এপিআই কী পাস করা, যেমন X-API-Key বা Authorization: ApiKey YOUR_API_KEY
    • উদাহরণ হেডার: X-API-Key: abcdef1234567890
  • কোয়েরি প্যারামিটারে (কম সুরক্ষিত): যদিও সম্ভব, URL কোয়েরি প্যারামিটারে এপিআই কী পাস করা (যেমন, ?api_key=abcdef1234567890) সাধারণত নিরুৎসাহিত করা হয় কারণ URL গুলি সার্ভার লগ, ব্রাউজার ইতিহাসে লগ করা যেতে পারে বা অন্য উপায়ে প্রকাশ করা যেতে পারে।
  • সার্ভার-সাইড যাচাইকরণ:
    • আপনার এপিআই সার্ভারকে অবশ্যই প্রতিটি রিকোয়েস্টের সাথে এপিআই কী যাচাই করতে হবে।
    • যাচাই করুন যে কী বিদ্যমান আছে, সক্রিয় আছে এবং অনুরোধ করা রিসোর্সের জন্য প্রয়োজনীয় অনুমতি রয়েছে কিনা।
    • যদি কী অবৈধ বা অনুপস্থিত হয়, তবে একটি উপযুক্ত ত্রুটি প্রতিক্রিয়া প্রদান করুন (যেমন, 401 Unauthorized বা 403 Forbidden)।

4. এপিআই কী সুরক্ষার জন্য সেরা অনুশীলন

  • কখনই হার্ডকোড কী করবেন না: যেমন উল্লেখ করা হয়েছে, ক্লায়েন্ট-সাইড কোডে সরাসরি কীগুলি এম্বেড করা এড়িয়ে চলুন।
  • HTTPS ব্যবহার করুন: ট্রানজিটে এপিআই কীগুলি এনক্রিপ্ট করতে সর্বদা HTTPS ব্যবহার করুন।
  • কী রোটেশন: নিয়মিতভাবে এপিআই কীগুলি রোট করুন, বিশেষ করে যদি আপনি সন্দেহ করেন যে একটি কী আপোস করা হয়েছে। নতুন কী তৈরি এবং পুরানো কীগুলি প্রত্যাহার করার জন্য একটি প্রক্রিয়া বাস্তবায়ন করুন।
  • ন্যূনতম প্রিভিলেজ: এপিআই কীগুলিকে শুধুমাত্র তাদের উদ্দেশ্যমূলক কার্য সম্পাদন করার জন্য প্রয়োজনীয় অনুমতিগুলি প্রদান করুন।
  • রেট লিমিটিং: অপব্যবহার রোধ করতে এবং আপনার এপিআইকে ডিনায়াল-অফ-সার্ভিস আক্রমণ থেকে রক্ষা করার জন্য এপিআই কীগুলির উপর ভিত্তি করে রেট লিমিটিং প্রয়োগ করুন।
  • পর্যবেক্ষণ এবং অডিটিং: সন্দেহজনক কার্যকলাপের জন্য এপিআই কী ব্যবহার পর্যবেক্ষণ করুন এবং অডিট লগ বজায় রাখুন।
  • প্রত্যাহার: আপোস করা বা অব্যবহৃত এপিআই কীগুলি প্রত্যাহার করার জন্য একটি স্পষ্ট প্রক্রিয়া রাখুন।
  • কী ম্যানেজমেন্ট সিস্টেম: বড় অ্যাপ্লিকেশনগুলির জন্য, একটি ডেডিকেটেড এপিআই কী ম্যানেজমেন্ট সিস্টেম বিবেচনা করুন।

এই নির্দেশিকাগুলি অনুসরণ করে, আপনি কার্যকরভাবে আপনার এপিআই সুরক্ষিত করতে এবং আপনার রিসোর্সগুলিতে অ্যাক্সেস নিয়ন্ত্রণ করতে এপিআই কীগুলি ব্যবহার করতে পারেন।