[HTTPS 보안 관련] HTTPS 방식에서는, 헤더에 심은 api key가 노출이 안되는걸까요??

Question

Chat GPT랑 통신하는 안드로이드, 아이폰 앱을 만들어 보려 하는데요클라이언트(안드로이드, 아이폰 앱) 쪽에서 headers: { Authorization: Bearer ${apiKey}, &#34;Content-Type&#34;: &#34;application/json&#34;, },이런식으로 헤더에 api key를 삽입해서https://api.openai.com/v1/chat/completions 으로 POST 요청을 보내는 형식이던데, https 방식이라 헤더에 심은 api key가 노출이 안되지 않을까 싶습니다만... 안전한거 맞을까요?? 어디서 글을 보니깐 중간자 공격(Man In The Middle)으로 저 방식에서 안드로이드, 아이폰 앱 런타임시 헤더의 api 키를 탈취 할수 있다고도 하고, 안된다고 하고. 도대체 어떤 말이 맞는건지 도통 알수가 없어서요.

Clickin · Answer

중간자 공격 당할 정도면 어차피 헤더만 털리는 게 아니라 바디도 털립니다.로그인 비밀번호도 중간자 공격에서는 안전하지 않아요

엡실론 · Answer

https://platform.openai.com/docs/api-reference/authenticationRemember that your API key is a secret! Do not share it with others or expose it in any client-side code (browsers, apps). Production requests must be routed through your own backend server where your API key can be securely loaded from an environment variable or key management service.앱이 직접 chat gpt랑 통신하면 안됩니다. 앱은 글쓴분 서버로 요청을 보내고, 서버가 chat gpt랑 통신해야 합니다.중간자 공격이 문제가 아니라, 클라이언트로 key를 보내면 클라이언트에서는 얼마든지 api key를 볼 수 있죠.

[HTTPS 보안 관련] HTTPS 방식에서는, 헤더에 심은 api key가 노출이 안되는걸까요??

2개의 답변

#header 목록