Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 058

Chave de API (API Key)

Revisado porCybersecurity entrepreneur & security researcher

O que é Chave de API (API Key)?

Chave de API (API Key)String secreta estatica emitida por um servico para identificar e autenticar quem chama, normalmente enviada num cabecalho ou parametro de URL em cada pedido a API.


Chaves de API sao strings longas e geradas aleatoriamente que identificam um projeto, conta de servico ou programador perante uma API backend. Sao simples de emitir e usar, mas oferecem garantias fracas: identificam quem chama, nao o utilizador, nao expiram por omissao e concedem todas as permissoes a elas associadas. Como sao segredos portadores (bearer) estaticos, qualquer pessoa que obtenha a string pode passar-se pelo chamador legitimo ate a chave ser revogada.

O modo de falha dominante e a fuga atraves do controlo de versoes. O GitHub reportou que mais de 39 milhoes de segredos foram expostos na sua plataforma em 2024, e a investigacao State of Secrets Sprawl da GitGuardian encontrou chaves AWS IAM em cerca de 8% dos repositorios privados analisados. Um exemplo de 2025 foi o repositorio publico "Private-CISA", onde o investigador da GitGuardian Guillaume Valadon descobriu credenciais AWS GovCloud expostas, palavras-passe em texto simples e certificados SAML ligados a sistemas do governo dos EUA. As chaves tambem vazam por apps moveis (APKs descompilados), bundles de JavaScript de front-end, logs de CI e capturas de ecra.

Defesas: guardar as chaves num gestor de segredos em vez de no codigo, ativar a deteccao de segredos e a protecao de push do lado do fornecedor, limitar cada chave aos endpoints minimos, restringir por IP ou referrer HTTP, definir expiracao e rotacionar periodicamente, e revogar de imediato em caso de exposicao. Para autorizacao de utilizador final ou operacoes de alto valor, prefira OAuth 2.0, mTLS ou pedidos assinados com HMAC, que vinculam a credencial a um utilizador, audiencia e tempo de vida curto.

flowchart LR
  A[Programador emite chave de API] --> B[Chave embutida na app/config]
  B --> C{Guardada com seguranca?}
  C -->|Gestor de segredos + scanning| D[Chamador -> pedido a API<br/>cabecalho Authorization]
  C -->|Commit em repo / APK / logs| E[Scanners de segredos + atacantes<br/>recolhem a chave]
  E --> F[Imitacao e abuso<br/>ate a revogacao]
  D --> G[Scope + allowlist de IP + rotacao<br/>limitam o impacto]

Exemplos

  1. 01

    Authorization: ApiKey sk_live_abc123...

  2. 02

    APIs do Stripe, Google Maps e Twilio acedidas com chaves por projeto.

Perguntas frequentes

O que é Chave de API (API Key)?

String secreta estatica emitida por um servico para identificar e autenticar quem chama, normalmente enviada num cabecalho ou parametro de URL em cada pedido a API. Pertence à categoria Identidade e acesso da cibersegurança.

O que significa Chave de API (API Key)?

String secreta estatica emitida por um servico para identificar e autenticar quem chama, normalmente enviada num cabecalho ou parametro de URL em cada pedido a API.

Como se defender contra Chave de API (API Key)?

As defesas contra Chave de API (API Key) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Termos relacionados