Chave de API (API Key)
O que é Chave de API (API Key)?
Chave de API (API Key)String secreta estatica emitida por um servico para identificar e autenticar quem chama, normalmente enviada num cabecalho ou parametro de URL em cada pedido.
Chaves de API sao strings longas e aleatorias que identificam um projeto, conta de servico ou programador perante uma API backend. Sao simples de emitir e usar, mas oferecem garantias fracas: identificam quem chama, nao o utilizador, normalmente nao expiram e concedem todas as permissoes associadas. Boas praticas: guardar num gestor de segredos, nunca embutir em codigo cliente nem em repos publicos, scopes minimos, restricoes por IP ou referrer, rotacao periodica e revogacao imediata em caso de fuga. Para autorizacao de utilizador final ou operacoes criticas, prefira OAuth 2.0, mTLS ou pedidos assinados.
● Exemplos
- 01
Authorization: ApiKey sk_live_abc123...
- 02
APIs do Stripe, Google Maps e Twilio acedidas com chaves por projeto.
● Perguntas frequentes
O que é Chave de API (API Key)?
String secreta estatica emitida por um servico para identificar e autenticar quem chama, normalmente enviada num cabecalho ou parametro de URL em cada pedido. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa Chave de API (API Key)?
String secreta estatica emitida por um servico para identificar e autenticar quem chama, normalmente enviada num cabecalho ou parametro de URL em cada pedido.
Como funciona Chave de API (API Key)?
Chaves de API sao strings longas e aleatorias que identificam um projeto, conta de servico ou programador perante uma API backend. Sao simples de emitir e usar, mas oferecem garantias fracas: identificam quem chama, nao o utilizador, normalmente nao expiram e concedem todas as permissoes associadas. Boas praticas: guardar num gestor de segredos, nunca embutir em codigo cliente nem em repos publicos, scopes minimos, restricoes por IP ou referrer, rotacao periodica e revogacao imediata em caso de fuga. Para autorizacao de utilizador final ou operacoes criticas, prefira OAuth 2.0, mTLS ou pedidos assinados.
Como se defender contra Chave de API (API Key)?
As defesas contra Chave de API (API Key) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
● Termos relacionados
- appsec№ 459
Segredos hardcoded no código
Inclusão de credenciais, chaves de API, tokens ou material criptográfico diretamente no código-fonte, ficheiros de configuração ou imagens de contentor, onde são facilmente descobertos e abusados.
- appsec№ 052
Segurança de API
Disciplina de projetar, construir e operar APIs para que autenticação, autorização, exposição de dados e resistência a abusos se mantenham sob ataque.
- identity-access№ 088
Bearer Token (token ao portador)
Credencial opaca ou estruturada (RFC 6750) que concede acesso a um recurso apenas por posse, sem prova de que o portador e o legitimo dono.
- identity-access№ 749
OAuth 2.0
Framework aberto de autorização que permite ao dono de um recurso conceder a uma aplicação terceira acesso limitado a uma API sem partilhar credenciais.
- identity-access№ 1011
Conta de serviço
Identidade não humana usada por uma aplicação, script ou serviço para se autenticar noutros sistemas, normalmente sem início de sessão interativo.
- identity-access№ 233
Cofre de credenciais
Serviço centralizado e auditado que armazena, roda e medeia em segurança o acesso a segredos como palavras-passe, chaves de API, certificados e chaves SSH.