API-Key
Was ist API-Key?
API-KeyStatisches Secret-String, das ein Dienst ausstellt, um den Aufrufer zu identifizieren und zu authentifizieren - meist im Header oder Query-Parameter jeder Anfrage.
API-Keys sind lange, zufallige Strings, mit denen ein Projekt, ein Service Account oder ein Entwickler gegenuber einer Backend-API ausgewiesen wird. Sie sind einfach auszustellen und einzusetzen, bieten aber schwache Garantien: Sie identifizieren den Aufrufer, nicht den Benutzer, laufen meist nicht ab und gewahren samtliche zugeordneten Rechte. Best Practices: Speicherung in einem Secrets-Manager, niemals in Client-Code oder offentlichen Repos, eng gescopt, Restriktionen per IP oder Referer, regelmassige Rotation und sofortige Sperrung bei Leak. Fur Endnutzer-Autorisierung oder kritische Operationen besser OAuth 2.0, mTLS oder signierte Requests verwenden.
● Beispiele
- 01
Authorization: ApiKey sk_live_abc123...
- 02
Stripe-, Google-Maps- und Twilio-APIs uber projektspezifische API-Keys.
● Häufige Fragen
Was ist API-Key?
Statisches Secret-String, das ein Dienst ausstellt, um den Aufrufer zu identifizieren und zu authentifizieren - meist im Header oder Query-Parameter jeder Anfrage. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet API-Key?
Statisches Secret-String, das ein Dienst ausstellt, um den Aufrufer zu identifizieren und zu authentifizieren - meist im Header oder Query-Parameter jeder Anfrage.
Wie funktioniert API-Key?
API-Keys sind lange, zufallige Strings, mit denen ein Projekt, ein Service Account oder ein Entwickler gegenuber einer Backend-API ausgewiesen wird. Sie sind einfach auszustellen und einzusetzen, bieten aber schwache Garantien: Sie identifizieren den Aufrufer, nicht den Benutzer, laufen meist nicht ab und gewahren samtliche zugeordneten Rechte. Best Practices: Speicherung in einem Secrets-Manager, niemals in Client-Code oder offentlichen Repos, eng gescopt, Restriktionen per IP oder Referer, regelmassige Rotation und sofortige Sperrung bei Leak. Fur Endnutzer-Autorisierung oder kritische Operationen besser OAuth 2.0, mTLS oder signierte Requests verwenden.
Wie schützt man sich gegen API-Key?
Schutzmaßnahmen gegen API-Key kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- appsec№ 459
Hardcodierte Secrets im Code
Einbetten von Zugangsdaten, API-Schlüsseln, Tokens oder kryptografischem Material direkt in Quellcode, Konfigurationsdateien oder Container-Images, wo sie leicht entdeckt und missbraucht werden.
- appsec№ 052
API-Sicherheit
Disziplin, APIs so zu entwerfen, zu bauen und zu betreiben, dass Authentifizierung, Autorisierung, Datenoffenlegung und Missbrauchsresistenz auch unter Angriff Bestand haben.
- identity-access№ 088
Bearer Token
Opake oder strukturierte Credential (RFC 6750), die allein durch Besitz Zugriff auf eine Ressource gewahrt - ohne Nachweis, dass der Trager der rechtmassige Inhaber ist.
- identity-access№ 749
OAuth 2.0
Offenes Autorisierungs-Framework, mit dem ein Ressourceninhaber einer Drittanwendung beschränkten, scoped Zugriff auf eine API gewähren kann, ohne Zugangsdaten preiszugeben.
- identity-access№ 1011
Dienstkonto
Eine nichtmenschliche Identität, die eine Anwendung, ein Skript oder ein Dienst zur Authentifizierung gegenüber anderen Systemen nutzt, üblicherweise ohne interaktive Anmeldung.
- identity-access№ 233
Credential Vault
Ein zentraler, auditierter Dienst, der Secrets wie Passwörter, API-Schlüssel, Zertifikate und SSH-Keys sicher speichert, rotiert und kontrolliert herausgibt.