Beveiliging van API-sleutels begrijpen
Leestijd 3 minuten
In dit artikel
- Een identiteit verifiëren voor het beheren van API-sleutels
- De machtigingen voor Wix API-sleutels begrijpen
- Acties die moeten worden genomen als je API-sleutel is gecompromitteerd
Wix API-sleutels zijn codes (ook bekend als tekenreeksen) die je kunt genereren om een gebruiker of applicatie toegang te geven tot je websites.
API-sleutels kunnen toegang geven tot alle websitegegevens in je account, dus het is belangrijk dat je begrijpt hoe je je API-sleutels veilig kunt houden.
Een identiteit verifiëren voor het beheren van API-sleutels
Wanneer je een nieuwe API-sleutel genereert of wijzigingen aanbrengt in je bestaande API-sleutels, wordt je gevraagd je identiteit te verifiëren. Dit zorgt ervoor dat alleen geautoriseerde mensen wijzigingen kunnen aanbrengen in de API-sleutels in je account en helpt je websitegegevens veilig te houden.
Om je identiteit te verifiëren, wordt een 6-cijferige code verzonden naar het e-mailadres dat aan je account is gekoppeld. Om een actie uit te voeren met je API-sleutels, moet je deze code invoeren in de Verifieer je account-pop-up.
De machtigingen voor Wix API-sleutels begrijpen
Standaard geeft elke API-sleutel die je genereert toegang tot alle websites onder je account. Dit komt omdat API-sleutels op accountniveau worden gegenereerd. Je kunt het toegangsniveau bepalen dat een API-sleutel verleent door de machtigingen te selecteren die eraan zijn toegewezen.
Je kunt bijvoorbeeld de Wix Stores-machtiging selecteren om je API-sleutel alleen toegang te geven tot de winkelgegevens van je website, inclusief producten, bestellingen en valuta.
Er zijn drie verschillende soorten machtigingen die je aan je API-sleutels kunt toewijzen.
Type machtigingen: | Uitleg |
|---|---|
Alle machtigingen | Met deze instelling kun je alle beschikbare machtigingen op account- en websiteniveau toevoegen aan je API-sleutel. Hierdoor heeft de sleutel toegang tot alle gerelateerde gegevens op account- en websiteniveau. |
Basismachtigingen | Deze instelling retourneert de ID's van alle websites in je account. Het is standaard geselecteerd en kan niet worden uitgeschakeld. |
Alle accountmachtigingen | Met deze instelling kun je alle beschikbare machtigingen op accountniveau toevoegen aan je API-sleutel. Hierdoor kan de sleutel nieuwe Wix-accounts maken en meer. |
Alle websitemachtigingen | Met deze instelling kun je alle beschikbare machtigingen op websiteniveau toevoegen aan je API-sleutel. Hiermee kan de sleutel je winkelgegevens, boekingsgegevens, evenementsgegevens en meer beheren. |
Je kunt er ook voor kiezen om machtigingen te selecteren voor slechts sommige gegevens op websiteniveau (bijvoorbeeld je Wix Stores-gegevens).
Over het algemeen moet je alleen de machtigingen kiezen die je nodig hebt voor een bepaalde API-sleutel om je websitegegevens veilig te houden. De meeste machtigingen geven automatisch lees- en schrijftoegang tot de gegevens van je website, dus het toewijzen van de juiste machtigingen zorgt ervoor dat je niet meer toegang geeft tot je websitegegevens dan nodig is.
Acties die moeten worden genomen als je API-sleutel is gecompromitteerd
Elke Wix API-sleutel die je genereert, heeft toegang tot alle websites in je account. Het is belangrijk dat je je Wix API-sleutels alleen deelt met mensen die je vertrouwt.
Als je vermoedt dat iemand ongeautoriseerde toegang heeft tot een van je Wix API-sleutels, is het belangrijk om onmiddellijk te handelen. We raden je aan je API-sleutel te roteren om een nieuwe token voor de sleutel te maken. Alle API's die eerder toegang hadden tot je websitegegevens, wordt onmiddellijk ingetrokken.
Als je niet zeker weet of iemand ongeautoriseerde toegang heeft tot een van je sleutels, is het een goed idee om je sleutel te dupliceren. Voeg de nieuwe token toe aan je API-aanroepen, deel de nieuwe token met alle teamleden die het nodig hebben en verwijder vervolgens de oude API-sleutel. Dit zorgt ervoor dat API's die de sleutel gebruiken geen onderbreking van de dienst hebben.
Belangrijk:
- Elke gebruiker of applicatie die eerder toegang had tot de API-sleutel, verliest de toegang tot je websitegegevens nadat je deze hebt geroteerd of verwijderd.
- Het is niet mogelijk om een eerdere API-sleutel te herstellen nadat je deze hebt geroteerd of verwijderd.
Wil je meer weten over het gebruik van Wix API-sleutels?
Lees ons artikel over het bouwen van verzoeken met API-sleutels.