Comprendere la sicurezza delle chiavi API

Tempo di lettura: 3 min.
Le chiavi API Wix sono codici (noti anche come stringhe) che puoi generare per concedere a un utente o a un'applicazione l'accesso ai tuoi siti.
Le chiavi API possono dare accesso a tutti i dati del sito nel tuo account, quindi è fondamentale capire come proteggere le tue chiavi API. 

In questo articolo, scoprirai di più su:


Verificare la tua identità per gestire le chiavi API

Quando generi una nuova chiave API o apporti modifiche alle chiavi API esistenti, ti verrà richiesto di verificare la tua identità. Ciò garantisce che solo le persone autorizzate possano apportare modifiche alle chiavi API del tuo account e aiuta a proteggere i dati del tuo sito.  
Per verificare la tua identità, viene inviato un codice a 6 cifre all'indirizzo email collegato al tuo account. Per eseguire qualsiasi azione con le tue chiavi API, dovrai inserire questo codice nel pop-up di verifica del tuo account
Screenshot della verifica di una chiave API

Comprendere le autorizzazioni delle chiavi API Wix

Per impostazione predefinita, ogni chiave API generata concede l'accesso a tutti i siti del tuo account. Questo perché le chiavi API sono generate a livello di account. Puoi controllare il livello di accesso concesso da una chiave API selezionando le autorizzazioni assegnate.
Ad esempio, puoi selezionare l'autorizzazione Wix Stores per consentire alla tua chiave API di accedere solo ai dati del negozio del tuo sito, inclusi prodotti, ordini e valute. 
Esistono tre diversi tipi di autorizzazioni che puoi assegnare alle tue chiavi API.
Tipo di autorizzazione
Spiegazione
Tutte le autorizzazioni
Questa impostazione ti consente di aggiungere tutte le autorizzazioni disponibili a livello di account e sito alla tua chiave API. Ciò consente alla chiave di accedere a tutti i dati correlati a livello di account e sito.
Autorizzazioni di base
Questa impostazione restituisce gli ID di tutti i siti del tuo account. È selezionata per impostazione predefinita e non può essere deselezionata.
Tutte le autorizzazioni dell'account
Questa impostazione ti consente di aggiungere tutte le autorizzazioni disponibili a livello di account alla tua chiave API. Ciò consente alla chiave di creare nuovi account Wix e altro ancora.
Tutte le autorizzazioni del sito
Questa impostazione ti consente di aggiungere tutte le autorizzazioni disponibili a livello di sito alla tua chiave API. Ciò consente alla chiave di gestire i dati del tuo negozio, i dati delle prenotazioni, i dati degli eventi e altro ancora.
Puoi anche scegliere di selezionare le autorizzazioni solo per alcuni dati a livello di sito, ad esempio i tuoi dati Wix Stores.
In generale, dovresti scegliere solo le autorizzazioni necessarie per una determinata chiave API per proteggere i dati del tuo sito. La maggior parte delle autorizzazioni concede automaticamente l'accesso in lettura e scrittura ai dati del tuo sito, quindi l'assegnazione delle autorizzazioni appropriate garantisce di non concedere più accesso ai dati del tuo sito del necessario.
Screenshot della modifica del set di autorizzazioni di una chiave API

Azioni da intraprendere se la chiave API viene compromessa

Ogni chiave API Wix che generi ha accesso a tutti i siti del tuo account. È fondamentale condividere le tue chiavi API Wix solo con persone fidate. 
Se sospetti che qualcuno abbia accesso non autorizzato a una delle tue chiavi API Wix, agisci immediatamente. Ti consigliamo di ruotare la chiave API per creare un nuovo token per la chiave. Verrà immediatamente revocato l'accesso a tutte le API che in precedenza avevano accesso ai dati del tuo sito. 
Se non hai la sicurezza che qualcuno abbia accesso non autorizzato a una delle tue chiavi, ti consigliamo di duplicare la tua chiave. Aggiungi il nuovo token alle chiamate API, condividi il nuovo token con tutti i membri del team che ne hanno bisogno e poi elimina la vecchia chiave API. In questo modo, le API che utilizzano la chiave non subiranno interruzioni di servizio.
Importante:
  • Qualsiasi utente o applicazione che in precedenza aveva accesso alla chiave API perderà l'accesso ai dati del tuo sito dopo averla ruotata o eliminata
  • Non è possibile recuperare una chiave API precedente dopo averla ruotata o eliminata

Vuoi saperne di più sull'utilizzo delle chiavi API Wix?
Leggi il nostro articolo su come creare richieste utilizzando le chiavi API (articolo in inglese).

Hai trovato utile questo articolo?

|