API Key Nedir?
İngilizce: API Key
API key, uygulama veya geliştiriciyi tanımlayan; kota takibi, erişim sınırı ve basit sunucu-sunucu güvenliği için kullanılan anahtardır.
API Key Nedir?
API key, bir API çağrısını yapan uygulamayı, geliştiriciyi veya müşteriyi tanımlamak için kullanılan benzersiz anahtardır. Genellikle HTTP header içinde gönderilir ve API tarafında hangi plana, kotaya veya erişim hakkına ait olduğu kontrol edilir.
API key çoğu zaman “kim bu isteği gönderiyor?” sorusuna cevap verir; “hangi son kullanıcı adına işlem yapıyor?” sorusunu tek başına güvenli biçimde çözmez. Bu nedenle kullanıcı yetkilendirmesi gereken senaryolarda OAuth2 veya token tabanlı akışlar tercih edilir.
Nasıl Kullanılır?
- Sunucu-sunucu entegrasyonlarında
X-API-KeyveyaAuthorizationheader’ı ile gönderilebilir. - Anahtarlar ortam değişkeni veya secret manager içinde saklanmalıdır.
- Gerektiğinde IP, domain, referrer veya endpoint kapsamıyla sınırlandırılmalıdır.
- Düzenli rotasyon, sızıntı durumunda hızlı iptal ve kullanım logları planlanmalıdır.
Güvenlik Dikkatleri
API key tarayıcı tarafındaki JavaScript içine gömülürse kullanıcı tarafından görülebilir. Mobil uygulamalarda da anahtarın tamamen gizli kalacağı varsayılmamalıdır. Bu yüzden hassas işlemler backend proxy, kısa ömürlü token veya imzalı istek gibi ek kontrollerle korunur.
JWT kullanıcı veya oturum bağlamı taşıyabilir; API key ise çoğu zaman uygulama kimliğini ve kullanım kotasını yönetir. İki mekanizma aynı sistemde farklı amaçlarla birlikte kullanılabilir.
İlgili Terimler
JWT, API'ler ve istemciler arasında doğrulanabilir bilgileri taşımak için kullanılan imzalanmış ve kodlanmış JSON tabanlı token standardıdır.
OAuth 2.0OAuth 2.0, üçüncü taraf uygulamaların kullanıcı şifresi olmadan kaynaklara erişmesini sağlayan yetkilendirme çerçevesidir.
Gizli Bilgi Yönetimi (Secrets Management)Gizli bilgi yönetimi, API anahtarı, sertifika ve parola gibi hassas değerlerin güvenli saklanması, dağıtılması ve döndürülmesidir.