hostprofi.ru
Подобрать хостинг
Термин·буква A

API-ключ

краткое определение

API-ключ — уникальная строка-идентификатор, передаваемая в HTTP-запросах для аутентификации клиента в API. Позволяет контролировать доступ, вести учёт использования и применять rate limiting без паролей пользователей.

API-ключ (API key) — один из наиболее простых методов аутентификации для REST API. Клиент получает уникальную строку (обычно 32–64 символа, случайная последовательность или UUID) и включает её в каждый запрос к API. Сервер проверяет ключ и определяет, имеет ли клиент право на запрошенное действие.

Как работает

Способы передачи API-ключа:

  • HTTP-заголовок (предпочтительно) — Authorization: ApiKey sk-abc123... или кастомный заголовок типа X-API-Key: sk-abc123.
  • Query-параметрhttps://api.example.com/data?api_key=sk-abc123. Небезопасно: ключ попадает в логи сервера и browser history.
  • Тело запроса (POST) — {"api_key": "sk-abc123"}. Использовалось в ранних API, сейчас редко.

Жизненный цикл API-ключа:

  1. Генерация: пользователь создаёт ключ в личном кабинете или через CLI.
  2. Хранение: сервер хранит хэш ключа (bcrypt, SHA-256), не сам ключ. Пользователь видит ключ один раз при создании.
  3. Передача: клиент включает ключ в каждый запрос по HTTPS.
  4. Проверка: middleware сравнивает хэш ключа из запроса с хранимым хэшем, определяет владельца и его права.
  5. Ротация: ключи имеют срок действия или ротируются вручную при компрометации.

API-ключи vs альтернативы:

  • API-ключ — прост в реализации, подходит для server-to-server. Не содержит информации о пользователе (непрозрачный токен).
  • Bearer-токен / JWT — самодостаточный токен с claims (данными о пользователе). Не требует обращения к БД для декодирования, но сложнее отозвать.
  • OAuth 2.0 — стандарт для делегированного доступа: пользователь разрешает приложению действовать от своего имени без передачи пароля.

История

API-ключи появились с первыми коммерческими веб-API в начале 2000-х годов: Google Maps API (2005), Amazon Web Services (2006), Twitter API (2006). До этого API-аутентификация строилась на Basic Auth (RFC 7617, HTTP-заголовок Authorization с base64). REST-принципы (Roy Fielding, 2000) не специфицировали конкретный метод аутентификации, что привело к разнообразию подходов. Сегодня для публичных API стандартом считается OAuth 2.0 + OpenID Connect; API-ключи — для серверного использования и простых интеграций.

На что обращать внимание

Никогда не передавайте API-ключи в URL-параметрах и не коммитьте их в Git. Используйте переменные окружения или секреты в CI/CD. Реализуйте rate limiting по API-ключу: без него один скомпрометированный ключ может перегрузить ваш API. При подозрении на утечку ключ следует немедленно отозвать и сгенерировать новый. Для хранения ключей в приложении рекомендуется менеджер секретов (HashiCorp Vault, AWS Secrets Manager, Doppler).

На что обращать внимание при работе с API-ключами на хостинге

API-ключи — стандартный способ аутентификации в хостинг-провайдерах: Hetzner API, Cloudflare API, VK Cloud API. Ключи используются в Terraform-конфигурации для управления инфраструктурой через код. Храните ключи в переменных окружения или Secret Manager, никогда в коде или git-репозитории. Ротация ключей — минимум раз в год или при увольнении сотрудника с доступом.

Типичные ошибки при работе с API-ключами

  • Ключ с полными правами (owner scope) вместо минимально необходимых — компрометация даёт полный контроль над аккаунтом хостинга.
  • Один ключ для всех сред (dev/staging/production) — ротация требует изменений везде.
  • API-ключ в URL-параметре (?api_key=...) — попадает в логи сервера и браузерную историю.
  • Отсутствие мониторинга использования ключа — компрометация не обнаруживается вовремя.

Другие термины

.NET
.NET — кросс-платформенная платформа разработки Microsoft (2016+) для создания веб-приложений (ASP.NET Core), API, микросервисов, консольных утилит на C#, F# и VB.NET.
.NET Core
.NET (ранее .NET Core) — открытый кроссплатформенный фреймворк Microsoft для веб-разработки. ASP.NET Core поддерживает MVC, Minimal API, gRPC и Blazor, работает на Linux/Windows/macOS.
.htaccess
.htaccess — конфигурационный файл Apache, позволяющий задавать настройки веб-сервера для конкретной директории без перезапуска сервера: редиректы, права доступа, rewrite-правила, PHP-настройки.
100GbE
100GbE (100 Gigabit Ethernet) — стандарт сетевого интерфейса со скоростью 100 Гбит/с (12,5 ГБ/с). Используется в магистральных каналах дата-центров, spine-коммутаторах и серверах с высокопроизводительными NVMe-массивами.
10GbE
10GbE (10 Gigabit Ethernet) — стандарт Ethernet со скоростью передачи данных 10 Гбит/с. Используется в серверных сетях для подключения серверов к коммутаторам, интерконнекта гипервизоров и связи с хранилищами iSCSI/NFS.
152-ФЗ
152-ФЗ — Федеральный закон «О персональных данных», устанавливающий правила сбора, хранения и обработки данных граждан РФ. Обязывает хранить персданные россиян на серверах в России.
1GbE
1 Gigabit Ethernet (1GbE) — стандарт сетевого интерфейса с пропускной способностью 1 Гбит/с (125 МБ/с). Основной стандарт для серверных и рабочих сетей с 2000-х годов, определённый в IEEE 802.3ab (витая пара Cat5e+) и IEEE 802.3z (оптика).
25GbE
25GbE (25 Gigabit Ethernet) — стандарт сетевого интерфейса со скоростью 25 Гбит/с, принятый IEEE 802.3by в 2016 году. Оптимальный баланс между стоимостью и производительностью для серверных подключений в современных дата-центрах.
Смотрите также:
Все терминыБлогКаталог тарифов