הסבר על אבטחת מפתחות API

מפתחות Wix API הם קודים (המכונים גם מחרוזות) שאתם יכולים ליצור כדי לתת למשתמש או לאפליקציה גישה לאתרים שלכם.

מפתחות API יכולים להעניק גישה לכל נתוני האתר בחשבון שלכם, ולכן חשוב שתבינו איך לאבטח את מפתחות ה-API שלכם.

כשאתם יוצרים מפתח API חדש או מבצעים שינויים במפתחות API הקיימים שלכם, תתבקשו לאמת את הזהות שלכם. כך ניתן לוודא שרק גורמים מורשים יוכלו לבצע שינויים במפתחות ה-API בחשבון שלכם, ולשמור על אבטחת נתוני האתר.

כדי לאמת את הזהות שלכם, יישלח קוד בן 6 ספרות לכתובת המייל המקושרת לחשבון. כדי לבצע כל פעולה עם מפתחות ה-API שלכם, תתבקשו להקליד את הקוד הזה בחלון הקופץ Verify your account (אימות החשבון שלכם).

כברירת מחדל, כל מפתח API שאתם יוצרים מעניק גישה לכל האתרים בחשבון שלכם. הסיבה לכך היא שמפתחות API נוצרים ברמת החשבון. באפשרותכם לשלוט ברמת הגישה שמפתח API מעניק על ידי בחירת ההרשאות המשויכות אליו.

לדוגמה, תוכלו לבחור את ההרשאה של Wix Stores כדי לאפשר למפתח ה-API שלכם לגשת רק לנתוני החנות של האתר שלכם, כולל מוצרים, הזמנות ומטבעות.

יש שלושה סוגים שונים של הרשאות שאתם יכולים להקצות למפתחות ה-API שלכם.

אתם יכולים גם לבחור לתת הרשאות נבחרות רק לחלק מהנתונים ברמת האתר, למשל הנתונים שלכם ב-Wix Stores.

באופן כללי, עליכם לבחור רק את ההרשאות הדרושות למפתח API מסוים כדי לשמור על אבטחת נתוני האתר שלכם. רוב ההרשאות מעניקות באופן אוטומטי גישת קריאה וכתיבה לנתוני האתר שלכם, כך שהקצאת ההרשאות המתאימות מבטיחה שלא תעניקו גישה רחבה יותר מהנדרש.

כל מפתח API של Wix שאתם יוצרים מקנה גישה לכל האתרים בחשבון שלכם. חשוב שתשתפו את מפתחות ה-API של Wix רק עם אנשים שאתם סומכים עליהם.

אם אתם חושדים שלמישהו יש גישה לא מורשית לאחד ממפתחות ה-API שלכם ב-Wix, חשוב שתפעלו באופן מיידי. אנו ממליצים לסובב (rotate) את מפתח ה-API כדי ליצור אסימון חדש למפתח. כל ממשקי ה-API שבעבר קיבלו גישה לנתוני האתר שלכם, יאבדו את הגישה באופן מיידי.

אם אתם לא בטוחים אם למישהו יש גישה לא מורשית לאחד מהמפתחות שלכם, מומלץ לשכפל את המפתח. הוסיפו את האסימון החדש לקריאות ה-API שלכם, שתפו את האסימון החדש עם כל חברי הצוות שצריכים אותו ואז מחקו את מפתח ה-API הישן. זה מבטיח שממשקי API שמשתמשים במפתח ימשיכו לפעול ללא הפרעה.