Zurück zur Übersicht

Begriff

API Key

API Security S1
3 Quellen 0 Lernpfade 0 Backlinks enriched

Warum wichtig?

Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.

Ein API Key ist wie ein Passwort, aber nicht für Menschen, sondern für Computer-Programme. Wenn du als Programmierer Wetterdaten von einem Dienst (wie OpenWeatherMap) abrufen willst, brauchst du ein Abo. Damit der Wetterdienst weiß, "Wer fragt da an?" und "Hat der bezahlt?", gibst du bei jeder Anfrage deinen API Key mit. Er ist eine lange, zufällige Zeichenkette: abcdef-123456-secret. Er identifiziert dein Projekt (nicht unbedingt den Endnutzer).

Merksatz: Ein eindeutiges Token (Zeichenfolge), das einem Client zugewiesen wird, um ihn bei API-Anfragen zu identifizieren und oft auch, um Nutzungsgrenzen (Rate Limits) und Abrechnung zu steuern.


Quick-Check

  1. API Key vs. User Passwort?
    API Keys sind oft langlebig und gehören einer App/Maschine. Passwörter gehören Menschen. API Keys haben oft hohe Entropie (zufällig generiert), Passwörter sind oft schwach ("123456").
  2. Kann ich API Keys verschlüsseln?
    Verschlüsselt übertragen (HTTPS) ja, zwingend! Aber im Code müssen sie irgendwann im Klartext vorliegen, um gesendet zu werden. Nutze Secret Manager (AWS Secrets Manager, HashiCorp Vault), um sie erst zur Laufzeit sicher einzuschleusen.
  3. Was tun, wenn ich aus Versehen einen Key committed habe?
    Sofort im Dashboard "Revoke" (sperren) klicken. Key rotieren. Und die Git History ("git filter-branch") bereinigen, denn der Commit bleibt auch nach dem Löschen der Datei im Verlauf sichtbar.