Co je to API klíč?
API klíč je jedinečný řetězec znaků, který identifikuje aplikaci nebo člověka volajícího API (rozhraní, přes které spolu programy komunikují). Když váš software pošle požadavek, přiloží k němu klíč a služba na druhé straně ho před odpovědí zkontroluje. Klíč službě řekne, kdo se ptá, jestli na to má právo a kolik toho smí udělat.
S klíči se potkáte, když se připojujete ke službě, jako je e-mailová platforma, platební brána nebo model umělé inteligence. Obvykle vypadají jako dlouhá řada písmen a číslic, třeba sk_live_4eC39H....
Lidsky řečeno
Představte si API klíč jako členskou kartu, kterou ukážete u vchodu. Vyhazovač nepotřebuje znát váš životní příběh. Mrkne na kartu, vidí, že jste platící člen, a pustí vás dál. Služba dělá totéž: klíč je vaše karta a každý požadavek ji ukáže, aby dokázal, že tam patříte.
Jak funguje
Celý postup je krátký a opakuje se u každého požadavku:
- Získáte klíč. Zaregistrujete se ke službě, otevřete její nástěnku a vygenerujete klíč. Služba si uloží kopii a naváže ji na váš účet.
- Aplikace ho pošle. Každý požadavek na API nese klíč, zpravidla v hlavičce typu
Authorization: Bearer <váš-klíč>. - Služba ho zkontroluje. Porovná klíč se svými záznamy, ověří, že účet je aktivní, a uplatní vaše limity a oprávnění.
- Dostanete odpověď, nebo odmítnutí. Platný klíč vrátí data. Chybějící, špatný nebo zrušený klíč vrátí chybu, často
401 Unauthorized.
Za touto jednoduchou výměnou klíč službě navíc umožní počítat vaši spotřebu, správně účtovat a okamžitě odříznout přístup, jakmile něco vypadá podezřele.
Bezpečnost
Klíč je přihlašovací údaj. Kdo ho má, může jednat za vás a navýšit vám účet, takže s ním zacházejte jako s heslem.
- Nedávejte klíče do kódu. Ukládejte je do proměnných prostředí nebo do správce tajemství. Nikdy je nepište natvrdo do aplikace ani je neukládejte do Gitu.
- Pro každý účel mějte zvlášť klíč. Klíč na testování, klíč na ostrý provoz, klíč na každou službu. Když jeden unikne, zrušíte jen ten jeden.
- Klíče pravidelně obměňujte. Vyměňte je každých pár měsíců a hned poté, co z týmu odejde někdo s přístupem.
- Omezte, co každý klíč smí. Mnoho služeb umí klíč svázat s konkrétními akcemi nebo nastavit strop útraty. Dejte mu jen tolik práv, kolik práce potřebuje.
- Rušte rychle. Pokud se klíč objeví ve veřejném repozitáři, v logu nebo na snímku obrazovky, smažte ho a vygenerujte nový. Uniklý klíč se sám neopraví.
Na co si dát pozor
- Klíč je identita, ne plnohodnotné ověření. Říká, kdo volá, ale sám o sobě neověří přihlášeného uživatele. Pro přístup na úrovni uživatele ho doplňte řádným ověřením, třeba přes OAuth.
- Klíče unikají na straně prohlížeče. Klíč zabalený do kódu v prohlížeči nebo mobilní aplikaci vidí každý, kdo se podívá. Citlivá API volejte raději z vlastního serveru.
- Natvrdo zapsané klíče zůstanou v historii Gitu. I když řádek smažete, klíč žije dál ve starých commitech. Obměňte ho, nestačí ho jen odstranit.
- Bez limitů přijde velké překvapení na účtu. Bez stropu spotřeby vám uniklý nebo chybný klíč může vyčerpat rozpočet dřív, než si toho všimnete. Limity a upozornění nastavte hned na začátku.
Související články
- Co je to API? - Rozhraní, přes které spolu programy komunikují, vysvětlené bez žargonu.
- SDK vs. API: v čem se liší - Co každé z nich dělá a kdy po čem sáhnout.
- MCP pod lupou: jak AI agenti komunikují s nástroji - Jak se AI agenti připojují k API a jaká rizika to přináší.
Chcete být o krok napřed?
Nenechte si utéct naše nejlepší postřehy. Žádný spam, jen praktické analýzy, pozvánky na exkluzivní eventy a shrnutí podcastů přímo do vaší schránky.