LogoLogo
v6.0
v6.0v5.2v5.1v5.0v4.0v3.0v2.4v2.3v2.2v1.3v1.2
v6.0
v6.0v5.2v5.1v5.0v4.0v3.0v2.4v2.3v2.2v1.3v1.2
  • 🏠Guida tecnica
  • 🕗Changelog
  • 🔢Setup iniziale
    • Adesione tramite l'Area Riservata
    • Iscrizione al Developer Portal
    • Configurazione remota
  • Funzionalità
    • 📦Pubblicare un servizio
      • Creare un servizio
      • Provare un servizio in test
      • Revisione del servizio
      • Visibilità del servizio in App
      • Importare servizi nell'Area Riservata
      • Dati obbligatori
        • Attributi
        • Service Metadata
      • Informazioni sensibili
      • Argomento del servizio
      • Stato del servizio
      • API Key
        • API Key manage
        • API Key use
      • Gestire l'accesso ai servizi tramite i gruppi
    • ✉️Inviare un messaggio
      • Messaggi di test
      • Inviare un messaggio tradizionale
      • Inviare un messaggio a contenuto remoto
      • Aggiungere allegati
  • API e specifiche
    • 📐OpenAPI
    • API Servizi
      • Manage Service: Get
      • Manage Service: Get keys
      • Manage Service: Get User Services
      • Manage Service: Create
      • Manage Service: Delete
      • Manage Service: Update
      • Manage Service: Request Review
      • Manage Service: Release
      • Manage Service: Get Released
      • Manage Service: Unpublish
      • Manage Service: Regenerate api key
      • Manage Service: Upload service logo
      • Upload organization logo
      • Service Topics: Get all service topics
    • API Messaggi
      • Get a User Profile using POST
      • Submit a Message passing the user fiscal_code in the request body
      • Get Message
      • CRU Configurazioni remote
      • Get Subscriptions Feed
      • ⚠️Get a User Profile
      • ⚠️Submit a Message passing the user fiscal_code as path parameter
    • Errori comuni
    • Specifiche API
    • OpenAPI endpoint di recupero dei contenuti remotizzati
    • Indirizzo IP pubblico
  • 🔑Abilitazioni
    • Test con Codici Fiscali reali
    • Test invio avvisi pagoPA
    • Subscription feed
    • Gestione dei servizi
    • Funzionalità Premium
  • Risorse Utili
    • #️⃣Guida al Markdown
    • ❓Supporto agli Enti (tutorial, FAQ)
    • 📘Glossario
Powered by GitBook
On this page
  • Perché esistono due chiavi?
  • Best practice per la gestione delle API Key
  • Elimina le API Key non necessarie per ridurre al minimo l'esposizione agli attacchi
  • Ruota periodicamente le API Key
  • Non includere le API Key nel codice client e non eseguirne il commit nei repository di codice
  • Implementa monitoraggio e logging avanzati
  1. Funzionalità
  2. Pubblicare un servizio

API Key

L'API Key è una chiave (secret) con cui, aggiungendola in uno specifico header della request, potrai invocare le API (per maggiori dettagli vedi la sezione Authentication dell'OpenAPI).

Come amministratore dell'ente potrai visualizzare e rigenerare le chiavi.

Perché esistono due chiavi?

Ogni API Key è composta da una coppia di chiavi: primaria ed una secondaria. Queste chiavi sono equivalenti e ti consentono di: cambiarle (rigenerarle) senza interrompere il servizio.

  • evitare interruzioni di servizio: puoi cambiarle (rigenerarle) la coppia di chiavi evitando disservizi;

  • condividere temporaneamente la chiave: in alcune occasioni potresti voler condividere l'API Key con i tuoi colleghi. Invece di condividere la chiave primaria (che viene utilizzata nelle tue applicazioni), condividi la chiave secondaria. Quando desideri revocare l'accesso a quella persona, rigenera la chiave secondaria. Una volta che hai rigenerato la chiave secondaria, la vecchia chiave secondaria non sarà più valida.

Best practice per la gestione delle API Key

Quando utilizzi le chiavi API nelle tue applicazioni, assicurati che vengano protette sia durante lo stoccaggio sia durante la trasmissione.

Elimina le API Key non necessarie per ridurre al minimo l'esposizione agli attacchi

Mantieni solo le API Key che stai utilizzando al momento per ridurre al minimo la superficie di attacco.

Ruota periodicamente le API Key

Se ruoti periodicamente le API Key, puoi limitare l'impatto di eventuali chiavi compromesse.

Per evitare interruzioni del servizio, procedi nel seguente modo:

  1. aggiorna le applicazioni in modo che utilizzino la chiave secondaria

  2. rigenera la chiave primaria

  3. aggiorna le applicazioni in modo che utilizzino la chiave primaria appena rigenerata

  4. rigenera la chiave secondaria

Non includere le API Key nel codice client e non eseguirne il commit nei repository di codice

Le API Key hardcoded nel codice sorgente o archiviate in un repository sono soggette ad intercettazione o furto da parte di malintenzionati. In ambienti client-side (come browser o applicazioni mobili) il client deve passare le richieste al proprio server di backend, che può aggiungere la chiave ed emettere la richiesta.

Implementa monitoraggio e logging avanzati

Il monitoraggio dell'utilizzo delle API può aiutarti a rilevare un utilizzo non autorizzato.

PreviousStato del servizioNextAPI Key manage
📦