ЧТО ТАКОЕ КЛЮЧ API
Расшифровка API
API (Application programming interface) – программный интерфейс, обеспечивающий коммуникацию между различными программами. Проще говоря, это техническое решение для быстрого взаимодействия приложений друг с другом. API может определять функциональные возможности, которые будут выполняться в той или иной программе.
API используется при работе с файловой системой, хранении данных, программировании в социальных сетях для интеграции с сторонними сайтами и приложениями и т. д. Благодаря API, криптотрейдеры получают возможность торговать на бирже через терминалы и запускать торговых ботов.
Что такое ключи API
API-ключи – это ключи шифрования для аутентификации пользователя в системе, по аналогии логина и пароля. Существует два вида ключей API:
API-ключи применяются при ассиметричном шифровании. Такое шифрование обеспечивает большую безопасность: если злоумышленник получит публичный ключ, то все равно не сможет пройти аутентификацию без секретного ключа.
Примечание: секретный ключ отображается только один раз, при создании. При необходимости сохраните его в надежном месте. Если секретный ключ будет утерян, вы всегда сможете пересоздать связку ключей.
Как правило, API-ключи выглядят как длинная строка из разных символов. Это затрудняет взлом ключей.
Как работают ключи API
При вводе ключей API в приложении, отправляется запрос на сервер. Если проблем с идентификацией запроса не возникает, то программа начинает получать данные с сервера. API-ключи позволяют подключать сторонние программы к сайтам или обмениваться информацией между сервисами.
Безопасность при работе с API
Предоставляя информацию о ключах API посторонним, вы рискуете собственными средствами. В целях безопасности, создавайте отдельную связку API-ключей для каждого приложения.
Вы можете не беспокоиться за сохранность ключей API при использовании CScalp. Подробнее о безопасности в CScalp читайте здесь.
Bitcoin API и PHP – Базовое использование
Вы никогда не думали о продаже своих услуг в обмен на денежную единицу Bitcoin? Сегодня уже много крупных игроков на рынке делают это, начиная с OkCupid и Khan Academy, заканчивая даже WordPress-ом. Помимо этого, некоторые страны задумались об Bitcoin в качестве валюты. В этой серии уроков, мы познакомимся с Bitcoin API и Coinbase SDK.
Coinbase SDK
Для работы с Coinbase вы можете воспользоваться специальными инструментами и SDK, которые доступны абсолютно каждому (с некоторой оговоркой о цене).
Еще одним важный момент: вы можете подключать услугу “Мгновенный обмен”. Данная услуга преобразует сумму платежа Bitcoin сразу в выбранную вами валюту без дополнительных действий.
Типы интеграции
Как и многие другие сервисы онлайн-платежей, Coinbase предлагает два основных способа интеграции. Первый быстрее и легче, второй сложнее, но предоставляет расширенные возможности, которые больше подходят для больших проектов.
Первый вариант заключается в использовании одного из инструментов Coinbase, а именно MerchantTools. Вы можете использовать кнопки, страницы и фрэймы. Если вы используете CMS или системой управления электронной коммерцией (WordPress, WooCommerce, Magento. ), то наверняка найдёте много соответствующих плагинов.
Второе способ заключается в полной интеграции сервиса, исключая обращение к Coinbase. На самом деле, мы будем использовать конкретный PHP SDK.
Что мы можем сделать при помощи данного SDK?
Примечание: прежде чем перейти к следующему шагу, вам необходимо быть зарегистрированным в Coinbase.
PHP SDK
Установка
Для установки помещаем следующий код в файл composer.json :
Далее используем composer (если он у вас установлен) для скачивания библиотеки:
Аутентификация
Ключ API + Secret
Создать ключ API очень просто, если у вас есть аккаунт Coinbase. Все, что вам нужно сделать, это перейти сюда и нажать на кнопку «+ New API Key».
Если вы делаете это впервые, то вам скорее всего придётся подтвердить аккаунт при помощи Authy.
Перед вами должна отобразиться следующая форма:
Вам нужно будет указать данные учетной записи и список прав, которые необходимо присвоить для конкретного ключа. Также вы можете выбрать один или несколько IP адресов для внесения их в “белый список”.
Для создания и активации ключа API нажмите сначала кнопку “Create”, а затем “Enable”.
OAuth 2.0
Заполните форму: укажите название вашего приложения, выберите иконку, а так же укажите список URL-адресов для будущих редиректов.
Примечание: каждый URL должен начинаться с (https://. ). Другие варианты будет игнорироваться.
Кликните окей и все готово! После этого вы должны получите письмо с вашим новым ClientID и Client Secret. Это конечно не вся информация об аутентификации, более подробное описание можете найти на соответствующей странице.
Права
Для более безопасной работы с API вам предстоит иметь дело с правами доступа. Полный список прав:
Принципы работы с SDK
Теперь, когда у нас есть ключи и скачанная библиотека, можем приступать к дальнейшим шагам.
Прежде всего, давайте взглянем на осуществлении процедуры аутентификации.
Доступ по ключам API и Secret
Доступ через OAuth
После успешной аутентификации пользователь будет перенаправлен на URL, указанный ранее во время установки. Для получения валидного токена, так же нужно передать параметр code :
Доступ к данным
Для проверки вашего баланса, выполните следующий код:
Вот как получить данные пользователя:
Примечание: свойство logo возвращает URL-адрес логотипа.
Данные о валютах
SDK так же позволяет получить данные о валютах:
Метод getCurrencies() возвращает список всех активных валют (в формате ISO), доступных в системе Bitcoin. Вот как, можно получить некоторую информацию о валютных курсах:
Так же вы можете получить информацию о валютном курсе при помощи методов getBuyPrice() и getSellPrice() :
Создание кнопки оплаты
Для создания кнопки оплаты воспользуйтесь методом createButton() с определенным набором параметров:
Довольно просто, не так ли?
Для вывода самой кнопки, воспользуйтесь следующими полями:
Подводя итог
На этом первая часть завершена. Тут мы рассмотрели основы: установку библиотеки, а так же принципы работы с API. Во второй части рассмотрим отправку и получения денег. Оставайтесь с нами!
Данный урок подготовлен для вас командой сайта ruseller.com
Источник урока: http://www.sitepoint.com/bitcoin-php-coinbases-api-basic-usage/
Перевел: Станислав Протасевич
Урок создан: 13 Октября 2014
Просмотров: 35800
Правила перепечатки
5 последних уроков рубрики «PHP»
Фильтрация данных с помощью zend-filter
Когда речь идёт о безопасности веб-сайта, то фраза «фильтруйте всё, экранируйте всё» всегда будет актуальна. Сегодня поговорим о фильтрации данных.
Контекстное экранирование с помощью zend-escaper
Обеспечение безопасности веб-сайта — это не только защита от SQL инъекций, но и протекция от межсайтового скриптинга (XSS), межсайтовой подделки запросов (CSRF) и от других видов атак. В частности, вам нужно очень осторожно подходить к формированию HTML, CSS и JavaScript кода.
Подключение Zend модулей к Expressive
Expressive 2 поддерживает возможность подключения других ZF компонент по специальной схеме. Не всем нравится данное решение. В этой статье мы расскажем как улучшили процесс подключение нескольких модулей.
Совет: отправка информации в Google Analytics через API
Предположим, что вам необходимо отправить какую-то информацию в Google Analytics из серверного скрипта. Как это сделать. Ответ в этой заметке.
Подборка PHP песочниц
Подборка из нескольких видов PHP песочниц. На некоторых вы в режиме online сможете потестить свой код, но есть так же решения, которые можно внедрить на свой сайт.
Зачем использовать ключ API и секрет?
Я столкнулся со многими API, которые дают пользователю как API ключ и секрет. Но мой вопрос: в чем разница между обоими?
на мой взгляд, одного ключа может быть достаточно. Скажем, у меня есть ключ, и только я и сервер это знаем. Я создаю хэш HMAC с этим ключом и делаю вызов API. На сервере мы снова создаем хэш HMAC и сравниваем его с отправленным хэшем. Если это то же самое, вызов аутентифицируется.
Так зачем использовать два ключи?
Edit: или этот ключ API используется для поиска секрета API?
4 ответов:
криптография с секретным ключом основана на использовании одного и того же ключа для кодирования и последующего декодирования сообщения. Таким образом, только те, кто знает «секрет», могут прочитать сообщение.
безопасность RSA основана на 2 совпадающих ключах. Есть открытый ключ для каждого пользователя, и каждый может (должна) это знать. Есть также закрытый ключ, который должен знать только пользователь. Сообщение, зашифрованное открытым ключом, может быть расшифровано только закрытым ключом, и наоборот.
таким образом, если я хочу отправить Вы сообщение, которое только вы можете прочитать, я получаю (из сети) Ваш открытый ключ, шифровать сообщение с этим ключом, и вы единственный человек, который может расшифровать его.
или, если я хочу доказать вам, что я отправил сообщение, я могу зашифровать сообщение своим закрытым ключом, рассказать вам (в открытом тексте или в другом сообщении), Как оно было зашифровано. Затем вы можете расшифровать сообщение с помощью моего открытого ключа, и если оно станет читаемым, вы знаете, что оно пришло от меня.
эта форма шифрования это довольно интенсивный компьютер, поэтому иногда делается шифрование одноразового «секретного ключа» с помощью технологии RSA, затем шифрование остальной части сообщения с помощью секретного ключа, а затем шифрование моей подписи вторым способом. Затем вы отменяете этот процесс, поэтому, если сообщение и подпись читаются, вы и только вы можете прочитать его, и вы уверены, что я отправил сообщение.
вы можете посетить эту ссылку для более подробного объяснения.
вам нужны два отдельных ключа, один, который говорит им, кто вы, а другой, который доказывает, что вы тот, кто вы говорите, что вы.
простой ответ, если я правильно понял.
Если вы используете свой ключ API для шифрования, как служба узнает, кто с ними связывается? Как они расшифруют это сообщение?
вы используете ключ API, чтобы указать, кто вы, это то, что вы отправляете в обычном тексте. Секретный ключ вы не отправлять кому угодно. Вы просто используете его для шифрования. Затем вы отправляете зашифрованное сообщение. Вы не отправляете ключ, который использовался для шифрования, что бы поражение цели.
есть ответы, объясняющие, что такое секретный и (открытый) ключ. Это пара открытого и закрытого ключей, которым они дают запутанные имена. Но никто не говорит, Почему API требуют обоих, и многие API дают вам только один секрет! Я также никогда не видел никаких документов API, объясняющих, почему у них есть два ключа, поэтому лучшее, что я могу сделать, это спекулировать.
лучше всего поместить только ваш открытый ключ в ваш запрос и подписать запрос локально с помощью вашего закрытого ключа; отправка ничего больше не требуется. Но некоторым сходит с рук просто наличие секрета в запросе. Хорошо, любой хороший API будет использовать некоторую транспортную безопасность, такую как TLS (обычно через HTTPS). Но вы все еще подвергаете свой закрытый ключ серверу таким образом, увеличивая риск того, что они каким-то образом неправильно его обрабатывают (см.: недавно обнаружена ошибка регистрации паролей GitHub и Twitter). И HTTPS теоретически так же безопасен, но там всегда есть недостатки реализации.
но многие-на самом деле большинство кажется-API у вас отправьте оба ключа в запросах, так как это проще, чем заставить людей делать свои собственные подписи; иначе не может быть чистых примеров cURL! В таком случае, бессмысленно их разделять. Я думаю, что отдельные ключи просто на случай, если они изменят API позже, чтобы воспользоваться ими. Или у некоторых есть клиентская библиотека, которая может сделать это более безопасным способом.
Bitcoin API и PHP – Базовое использование
Вы никогда не думали о продаже своих услуг в обмен на денежную единицу Bitcoin? Сегодня уже много крупных игроков на рынке делают это, начиная с OkCupid и Khan Academy, заканчивая даже WordPress-ом. Помимо этого, некоторые страны задумались об Bitcoin в качестве валюты. В этой серии уроков, мы познакомимся с Bitcoin API и Coinbase SDK.
Coinbase SDK
Для работы с Coinbase вы можете воспользоваться специальными инструментами и SDK, которые доступны абсолютно каждому (с некоторой оговоркой о цене).
Ещё одним важный момент: вы можете подключать услугу “Мгновенный обмен”. Данная услуга преобразует сумму платежа Bitcoin сразу в выбранную вами валюту без дополнительных действий.
Типы интеграции
Как и многие другие сервисы онлайн-платежей, Coinbase предлагает два основных способа интеграции. Первый быстрее и легче, второй сложнее, но предоставляет расширенные возможности, которые больше подходят для больших проектов.
Первый вариант заключается в использовании одного из инструментов Coinbase, а именно MerchantTools. Вы можете использовать кнопки, страницы и фрэймы. Если вы используете CMS или системой управления электронной коммерцией (WordPress, WooCommerce, Magento…), то наверняка найдёте много соответствующих плагинов.
Второе способ заключается в полной интеграции сервиса, исключая обращение к Coinbase. На самом деле, мы будем использовать конкретный PHP SDK.
Что мы можем сделать при помощи данного SDK?
Примечание: прежде чем перейти к следующему шагу, вам необходимо быть зарегистрированным в Coinbase.
PHP SDK
Установка
Зачем использовать ключ API и секрет?
Я столкнулся со многими API, которые дают пользователю как API ключ и секрет. Но мой вопрос: в чем разница между тем и другим?
в моих глазах одного ключа может быть достаточно. Скажем, у меня есть ключ, и только я и сервер это знаем. Я создаю хэш HMAC с этим ключом и выполняю вызов API. На сервере мы снова создаем хэш HMAC и сравниваем его с отправленным хэшем. Если это то же самое, вызов аутентифицируется.
Так зачем использовать два ключи?
изменить: или этот ключ API используется для поиска секрета API?
4 ответов
криптография секретного ключа полагается на использование того же ключа для кодирования, а затем декодирования сообщения. Таким образом, только те, кто знает «секрет», могут прочитать сообщение.
безопасность RSA основана на 2 совпадающих ключах. Есть открытый ключ для каждого пользователя, и каждый может (должна) это знать. Есть также закрытый ключ, который должен знать только пользователь. Сообщение, зашифрованное открытым ключом, может быть расшифровано только закрытым ключом, и наоборот.
таким образом, если я хочу отправить Вы сообщение, которое только вы можете прочитать, я получаю (из сети) Ваш открытый ключ, зашифровать сообщение с этим ключом, и вы единственный человек, который может расшифровать его.
или, если я хочу доказать вам, что я отправил сообщение, я могу зашифровать сообщение своим закрытым ключом, рассказать вам (в открытом тексте или в другом сообщении), Как оно было зашифровано. Затем вы можете расшифровать сообщение с помощью моего открытого ключа, и если оно станет читаемым, вы знаете, что оно пришло от меня.
эта форма шифрования довольно компьютерный, поэтому иногда делается шифрование одноразового «секретного ключа» с помощью технологии RSA, затем шифрование остальной части сообщения с помощью секретного ключа, а затем шифрование моей подписи вторым способом. Затем вы обращаете этот процесс вспять, так что если сообщение и подпись читаемы, вы и только вы можете прочитать его, и вы уверены, что я отправил сообщение.
вы можете посетить эту ссылку для более подробного объяснения.
вам нужны два отдельных ключа, один, который говорит им, кто вы, а другой, который доказывает, что вы тот, кто вы говорите, что вы.
простой ответ, если я правильно понял.
Если вы используете свой ключ API для шифрования, как служба узнает, кто с ними связывается? Как они расшифруют это сообщение?
вы используете ключ API, чтобы указать, кто вы, это то, что вы отправляете в обычном тексте. Секретный ключ ты не отправлять кому угодно. Вы просто используете его для шифрования. Затем вы отправляете зашифрованное сообщение. Вы не отправляете ключ, который использовался для шифрования, что бы победить цель.
есть ответы, объясняющие, что такое секретный и (открытый) ключ. Это пара открытого и закрытого ключей, которым они дают запутанные имена. Но никто не говорит, Почему Апис требует и того, и другого, и многие Апис дают вам только один секрет! Я также никогда не видел, чтобы документы API объясняли, почему у них есть два ключа, поэтому лучшее, что я могу сделать, это спекулировать.
лучше всего поместить только ваш открытый ключ в ваш запрос и подписать запрос локально с вашим закрытым ключом; отправка ничего больше не потребуется. Но некоторые уйти с просто секрет в запросе. Хорошо, любой хороший API будет использовать некоторую транспортную безопасность, такую как TLS (обычно через HTTPS). Но вы все еще подвергаете свой закрытый ключ серверу таким образом, увеличивая риск того, что они каким-то образом неправильно его обрабатывают (см.: недавно обнаруженная ошибка регистрации паролей GitHub и Twitter). И HTTPS теоретически так же безопасен,но всегда есть недостатки реализации.
но многие-на самом деле большинство кажется-Апис у вас отправить оба ключа в запросах, так как это проще, чем заставить людей делать свои собственные подписи; иначе не может быть чистых примеров cURL! В таком случае бессмысленно разделять их. Я думаю, что отдельные ключи просто на случай, если они изменят API позже, чтобы воспользоваться ими. Или у некоторых есть клиентская библиотека, которая может сделать это более безопасным способом.
