Web Developmentzačiatočník

Čo je API kľúč?

API kľúč je tajný unikátny identifikátor, ktorý slúži na autentifikáciu a autorizáciu pri prístupe k API. Funguje ako „heslo pre aplikácie" — identifikuje, kto volá API, a umožňuje poskytovateľovi sledovať a obmedzovať prístup.

Definícia API kľúč

Čo je API kľúč

API kľúč (z anglického API key) je tajný unikátny identifikátor, ktorý sa používa na autentifikáciu a autorizáciu pri prístupe k aplikačnému programovému rozhraniu (API). Veľkí poskytovatelia cloudových služieb ako Google Cloud Platform, Amazon AWS a Microsoft Azure používajú API kľúče na identifikáciu vývojárov a ich aplikácií.

API kľúč zvyčajne vyzerá ako dlhý náhodný reťazec znakov, napríklad: sk_live_4eC39HqLyjWDarjtT1zdp7dc. Posiela sa v HTTP hlavičke, URL parametri alebo tele požiadavky.

Ako API kľúče fungujú

  • Identifikácia — kľúč identifikuje aplikáciu alebo vývojára, ktorý posiela požiadavku
  • Autorizácia — na základe kľúča server určí, k akým zdrojom má volajúci prístup
  • Rate limiting — poskytovateľ sleduje počet požiadaviek na kľúč a aplikuje limity
  • Účtovanie — pri platených API sa na základe kľúča počíta spotreba a generujú faktúry

Dôležité bezpečnostné pravidlá: API kľúč nikdy neukladajte do zdrojového kódu ani do verejného repozitára. Používajte premenné prostredia (.env súbory), rotujte kľúče pravidelne a obmedzte oprávnenia na minimum potrebné pre danú aplikáciu.

Praktický príklad

Príklad: Chcete na webe zobraziť mapu pomocou Google Maps API.

Zaregistrujete sa v Google Cloud Console, vytvoríte projekt a vygenerujete API kľúč. Tento kľúč pridáte do volania: <script src="https://maps.googleapis.com/maps/api/js?key=VÁŠ_API_KĽÚČ">. Google na základe kľúča vie, kto mapu používa, a môže účtovať poplatky za presiahnutie bezplatného limitu.

Často kladené otázky

Čo je API kľúč a na čo slúži?

API kľúč je tajný identifikátor, ktorý aplikácia posiela pri volaní API. Slúži na identifikáciu volajúceho, riadenie prístupu, sledovanie spotreby a účtovanie. Funguje ako heslo pre komunikáciu medzi aplikáciami.

Ako bezpečne uložiť API kľúč?

Nikdy neukladajte API kľúč priamo do zdrojového kódu. Používajte premenné prostredia (.env súbory), tajné úložiská (AWS Secrets Manager, HashiCorp Vault) a pridajte .env do .gitignore, aby sa nedostal do repozitára.

Aký je rozdiel medzi API kľúčom a OAuth tokenom?

API kľúč identifikuje aplikáciu a je dlhodobo platný. OAuth token reprezentuje povolenie konkrétneho používateľa, má obmedzenú platnosť a presne definované oprávnenia (scopes). Pre prístup k dátam používateľov je OAuth bezpečnejší.

Čo robiť, ak mi unikne API kľúč?

Okamžite kľúč zrušte (revoke) v dashboarde poskytovateľa a vygenerujte nový. Skontrolujte logy na neautorizované použitie. Služby ako GitHub automaticky skenujú verejné repozitáre a upozornia, ak nájdu uniknutý kľúč.

Súvisiace pojmy

OAuth

OAuth je otvorený štandard pre autorizáciu, ktorý umožňuje aplikáciám získať obmedzený prístup k používateľským účtom bez zdieľania hesiel. Aktuálna verzia OAuth 2.0 je základom prihlásenia cez Google, Facebook, GitHub a ďalších poskytovateľov.

JWT (JSON Web Token)

JWT (JSON Web Token) je navrhovaný internetový štandard (RFC 7519) pre vytváranie prístupových tokenov vo formáte JSON s voliteľným podpisom a šifrovaním. Používa sa predovšetkým na autentifikáciu používateľov a bezpečný prenos údajov medzi aplikáciami.

Rate Limiting

Rate limiting je technika obmedzovania počtu požiadaviek, ktoré klient môže poslať na server za určitý časový interval. Chráni API pred preťažením, DDoS útokmi a zneužívaním. Patrí medzi základné bezpečnostné opatrenia každého verejného API.

REST API

REST (Representational State Transfer) je softvérový architektonický štýl pre vytváranie webových služieb. Definuje pravidlá, ako by mali klient a server komunikovať cez HTTP protokol. REST API je dnes najrozšírenejší spôsob, akým webové aplikácie a mobilné appky získavajú a odosielajú dáta.

CORS (Cross-Origin Resource Sharing)

CORS je bezpečnostný mechanizmus prehliadačov, ktorý umožňuje webovej stránke pristupovať k zdrojom na inom serveri (iný origin). Bez CORS by prehliadače blokovali všetky požiadavky medzi rôznymi doménami kvôli politike rovnakého pôvodu (same-origin policy).

Späť na slovník

Potrebujete pomôcť s webom?

Napíšte mi a poradím vám s vaším projektom. Prvá konzultácia je zadarmo a nezáväzná.

Napíšte miPozrite moju prácu