O que é API Key
API Key é uma chave alfanumérica única emitida por um serviço para autenticar aplicações ou usuários que fazem chamadas à sua API. Funciona como um identificador combinado com autenticação: ao incluir a chave em cada requisição, o servidor sabe quem está chamando, pode aplicar rate limiting, registrar uso para billing e bloquear acessos não autorizados.
É o método mais simples e popular de autenticação em APIs públicas, usado por serviços como Stripe, Google Maps, SendGrid, OpenAI e milhares de outros. Diferente de OAuth (autenticação de usuários) ou JWT (sessões temporárias), a API Key é geralmente estática e específica de uma aplicação.
Como é transmitida
- HTTP Header (recomendado): Authorization: Bearer SUA_CHAVE ou X-API-Key: SUA_CHAVE
- Query String: ?api_key=SUA_CHAVE (menos seguro — aparece em logs)
- Body: Em requisições POST com formulários
Para que serve
- Autenticação: Identificar qual aplicação está chamando
- Rate Limiting: Limitar requisições por chave
- Billing: Cobrar pelo volume de uso
- Analytics: Saber quem mais usa cada endpoint
- Revogação: Desativar acesso quando comprometido
Boas práticas de segurança
NUNCA exponha API Keys no código frontend ou em repositórios públicos. Use variáveis de ambiente, secrets managers (AWS Secrets Manager, HashiCorp Vault) e implemente rotação periódica. Sempre transmita sobre HTTPS — nunca HTTP. Combine com API Gateway para controle centralizado.
Leia o artigo completo: API Key: como funciona a autenticação por chave em APIs e quando usar
