API 密钥

API 密钥是一种秘密令牌，应用程序在发送 API 请求时将其与请求一起发送，以识别并授权对服务和数据的访问。

定义

API 密钥是由 API 提供商颁发的独特字母数字字符串，作为发起请求的客户端的标识符和访问凭证。它告诉 API 是哪个应用程序或项目在进行调用，并且该调用者是否有权限使用 API 的功能。API 密钥包含在请求中——通常在标头或查询参数中——以便服务器可以验证和授权流量。虽然对于访问控制和使用跟踪很有用，但 API 密钥本身并不验证个别用户，并且通常与其他安全措施结合使用以提供更强的保护。它们有助于管理速率限制、监控使用情况并实现应用程序的基本身份验证。

优点

• 对于基本的 API 身份验证和访问验证来说，实现和使用都很简单。
• 可以跟踪使用情况、进行速率限制，并将计费与特定应用程序关联。
• 可防止未经授权的客户端访问 API 和数据资源。
• 在项目级授权和公共 API 集成中表现良好。
• 轻量级凭证，可以在请求中以编程方式传递。

缺点

• 单独使用时安全性不强；如果泄露，可能被攻击者利用。
• 不验证个别终端用户——仅标识客户端应用程序。
• 通常为静态且长期有效，除非手动轮换或吊销。
• 可能意外泄露到代码仓库或公共客户端中。
• 对于敏感操作，应与其他更强的身份验证方式结合使用。

使用场景

• 通过 API 对自动化网络爬虫和数据检索服务进行身份验证。
• 授权与云服务和 SaaS 平台的第三方集成。
• 控制对 CAPTCHA 解决或机器人管理 API 端点的访问。
• 对 API 使用情况进行速率限制和监控，用于计费和分析。
• 嵌入到移动和后端应用程序中，以安全地访问远程 API。