¿Qué es una API key?

Entiende los tokens de autenticación y úsalos de forma segura

⏱ Estim. ~4 min

01 · Leer

JSONPlaceholder no requiere autenticación — está abierta para todos. Pero la mayoría de las APIs reales sí. Te dan una API key: una cadena secreta que te identifica.

Las API keys existen por tres razones:

1. Rate limiting — prevenir abusos (N solicitudes diarias por usuario) 2. Facturación — rastrear el uso en planes de pago 3. Autorización — restringir el acceso a datos privados solo a quien corresponde

Envías la key en cada solicitud, normalmente en un header.

💡 Imagínalo asíUna API key es como la tarjeta de hotel. El hotel sabe quién eres, a qué habitaciones puedes entrar y cuándo vence. Sin ella, la puerta queda cerrada. Usar la tarjeta de otra persona es suplantación.

Puntos clave

Las API keys son secretas — trátalas como contraseñas
No hagas commit de API keys en Git (agrega .env a .gitignore)
Si se filtra por accidente, rótala (regenérala) de inmediato
En el código, siempre léelas desde variables de entorno: process.env.API_KEY

02 · Ejemplo de código

Así se ve la autenticación con API key en curl. El token Bearer es, por mucho, el patrón más común.

Token Bearer (patrón estándar)

curl https://api.example.com/data \
  -H "Authorization: Bearer YOUR_API_KEY"

El flag -H agrega un header a la solicitud. Authorization: Bearer seguido de la key es la forma estándar en que las APIs verifican identidad. Algunas APIs viejas usan otros patrones (query param, headers personalizados), pero el token Bearer es el que vas a ver más seguido.

03 · Lista de verificación

Reglas de seguridad para API keys — marca cada una que vas a cumplir.

No pegues API keys en chats públicos, issues de GitHub o mensajes de Slack
Antes de crear el .env, agrega .env a .gitignore
Guarda las keys en variables de entorno, no las hardcodees en el código
Crea las API keys con los permisos mínimos necesarios

04 · Completar

Las API keys nunca deben subirse a _____.

05 · Quiz

Por accidente hiciste commit de una API key en un repo público de GitHub. ¿Qué deberías hacer primero?

Borrar el commit con git reset --hard
Cambiar el repo a privado
Eliminar el archivo .env del repo
Rotar (regenerar) la API key de inmediato en el panel del proveedor

Otras lecciones de este capítulo

⚠ La experiencia interactiva completa necesita JavaScript. Actívalo y vuelve a cargar la página.

※ Este es un proyecto educativo independiente — no es un producto oficial de Anthropic. Claude™ es una marca registrada de Anthropic, PBC.