API 密钥是保护 API 的常用方法，它提供了一种识别和验证调用应用程序的方式。虽然它不像 OAuth 或 JWT 那样用于用户级别的身份验证，但它对于应用程序到应用程序的身份验证和速率限制非常有效。

1. 什么是 API 密钥？

API 密钥是传递在每个 API 请求中的唯一标识符。它通常由随机生成的字符字符串组成。当应用程序向 API 发出请求时，它会包含其 API 密钥，从而允许 API 识别应用程序并确定它是否有权访问所请求的资源。

2. 生成和分发 API 密钥

• 生成： API 密钥应为随机生成的、长而复杂的字符串。避免使用可预测的模式。
• 安全生成： 使用密码学安全随机数生成器来创建密钥。
• 分发：
  • 通过安全门户或 API 向开发人员提供密钥。
  • 避免将密钥硬编码到客户端代码（移动应用、前端 JavaScript）中，因为它们很容易暴露。
  • 对于服务器到服务器通信，可以将密钥安全地存储在环境变量或密钥管理系统中。

3. 实现 API 密钥身份验证

• 在请求标头中： 最常见且推荐的做法是将 API 密钥传递在自定义 HTTP 标头中，例如 X-API-Key 或 Authorization: ApiKey YOUR_API_KEY。
  • 示例标头： X-API-Key: abcdef1234567890
• 在查询参数中（安全性较低）： 虽然可行，但通常不建议在 URL 查询参数中传递 API 密钥（例如 ?api_key=abcdef1234567890），因为 URL 可能会记录在服务器日志、浏览器历史记录中，或以其他方式暴露。
• 服务器端验证：
  • 您的 API 服务器必须验证每个请求的 API 密钥。
  • 检查密钥是否存在、是否处于活动状态以及是否具有请求资源的必要权限。
  • 如果密钥无效或缺失，请返回适当的错误响应（例如 401 Unauthorized 或 403 Forbidden）。

4. API 密钥安全最佳实践

• 切勿硬编码密钥： 如前所述，避免将密钥直接嵌入客户端代码中。
• 使用 HTTPS： 始终使用 HTTPS 来加密传输中的 API 密钥。
• 密钥轮换： 定期轮换 API 密钥，特别是如果您怀疑密钥已被泄露。实施生成新密钥和撤销旧密钥的流程。
• 最小权限原则： 只授予 API 密钥执行其预期功能绝对必需的权限。
• 速率限制： 基于 API 密钥实施速率限制，以防止滥用并保护您的 API 免受拒绝服务攻击。
• 监控和审计： 监控 API 密钥使用情况是否存在可疑活动并维护审计日志。
• 撤销： 制定清晰的流程来撤销已泄露或未使用的 API 密钥。
• 密钥管理系统： 对于大型应用程序，请考虑使用专用的 API 密钥管理系统。

通过遵循这些指南，您可以有效地使用 API 密钥来保护您的 API 并控制对您资源的访问。