Utmärkt observation och bra fråga.
För närvarande har alla API-nycklar läs- och skrivåtkomst till databaserna som är associerade med användarens konto, och alla agenter som har en API-nyckel kan framgångsrikt utfärda en sådan begäran.
Som du ser är denna mycket grundläggande lösenordsnyckel inte utformad med någon form av finkornig säkerhet i åtanke.
Vi arbetar dock på en grupp nya REST API-säkerhetsfunktioner som syftar till just det.
Kontakta oss på [email protected] om du skulle vara intresserad av att diskutera detaljerna.