Was ist ein API-Key?
Authentifizierungs-Tokens verstehen und sicher nutzen
⏱ ca. ~4 Min
01 · Lesen
JSONPlaceholder braucht keine Authentifizierung — offen für alle. Aber die meisten echten APIs brauchen eine. Sie geben dir einen API-Key: einen geheimen String, der dich identifiziert.
API-Keys existieren aus drei Gründen:
1. Rate Limiting — gegen Missbrauch (du bekommst N Anfragen pro Tag) 2. Abrechnung — Nutzung in bezahlten Tarifen verfolgen 3. Autorisierung — privaten Daten nur für berechtigte Personen freigeben
Du schickst deinen Key bei jeder Anfrage mit, meistens in einem Header.
💡 Stell dir das so vorEin API-Key ist deine Hotel-Zimmerkarte. Das Hotel weiß, wer du bist, welche Zimmer du betreten darfst und wann sie abläuft. Ohne sie bleibt die Tür zu. Mit der Karte von jemand anderem zu kommen, ist Identitätsdiebstahl.
Kernpunkte
- API-Keys sind geheim — behandle sie wie Passwörter
- API-Keys nie in Git committen (.env über .gitignore ausschließen)
- Versehentlich geleakt? Sofort rotieren (neu generieren)
- Im Code immer aus Umgebungsvariablen lesen: process.env.API_KEY
02 · Code-Beispiel
So sieht API-Key-Authentifizierung in curl aus. Bearer Tokens sind das mit Abstand häufigste Muster.
Bearer Token (Standardmuster)
curl https://api.example.com/data \
-H "Authorization: Bearer YOUR_API_KEY"
Die -H-Option fügt einen Header zur Anfrage hinzu. Authorization: Bearer gefolgt vom Key ist der Standard, wie APIs deine Identität prüfen. Manche alten APIs nutzen andere Muster (Query-Parameter, Custom-Header), aber Bearer Tokens wirst du am häufigsten sehen.
03 · Checkliste
Sicherheitsregeln für API-Keys — hake jede Regel ab, der du folgen wirst.
- API-Keys nicht in öffentliche Chats, GitHub-Issues oder Slack-Nachrichten posten
- Vor dem Anlegen von .env, .env in .gitignore aufnehmen
- Keys in Umgebungsvariablen ablegen, nicht hartcodieren
- Beim Erstellen eines API-Keys nur die minimal benötigten Berechtigungen vergeben
04 · Ausfüllen
API-Keys sollten nie in _____ committed werden.
05 · Quiz
Du hast versehentlich einen API-Key in ein öffentliches GitHub-Repo committed. Was solltest du als Erstes tun?
- Den Commit mit git reset --hard löschen
- Das Repo auf privat setzen
- Die .env-Datei aus dem Repo löschen
- Den API-Key sofort im Provider-Dashboard rotieren (neu generieren)
Andere Lektionen aus diesem Kapitel
⚠ Das volle interaktive Erlebnis braucht JavaScript. Bitte aktiviere es und lade die Seite neu.
※ Diese Seite ist ein unabhängiges Bildungsprojekt — kein offizielles Anthropic-Produkt. Claude™ ist eine eingetragene Marke von Anthropic, PBC.