C'est quoi une API key ?

Comprendre les tokens d'authentification et les utiliser en sécurité

⏱ Estim. ~4 min

01 · Lire

JSONPlaceholder n'exige pas d'authentification — ouverte à tous. Mais la plupart des vraies API, oui. Elles te donnent une API key : une chaîne secrète qui identifie qui tu es.

Les API keys existent pour trois raisons :

1. Rate limiting — empêcher les abus (toi, N requêtes par jour) 2. Facturation — suivre la consommation des forfaits payants 3. Autorisation — limiter l'accès aux données privées aux personnes autorisées

Tu envoies ta clé à chaque requête, en général dans un header.

💡 Imagine çaUne API key, c'est ta carte magnétique d'hôtel. L'hôtel sait qui tu es, dans quelles chambres tu peux entrer, et jusqu'à quand. Sans elle, les portes sont fermées. Utiliser la carte de quelqu'un d'autre, c'est usurper son identité.

Points clés

Une API key est un secret — traite-la comme un mot de passe
Ne commit pas une API key dans Git (ajoute .env à .gitignore)
Si elle fuite, fais une rotation immédiate (regénère-la)
Dans le code, lis-la toujours depuis une variable d'environnement : process.env.API_KEY

02 · Exemple de code

Voici à quoi ressemble l'authentification par API key dans curl. Le Bearer token est de loin le pattern le plus courant.

Bearer token (pattern standard)

curl https://api.example.com/data \
  -H "Authorization: Bearer YOUR_API_KEY"

L'option -H ajoute un header à la requête. Authorization: Bearer suivi de la clé est la convention standard que les API utilisent pour identifier qui tu es. Quelques vieilles API utilisent d'autres patterns (query param, header custom), mais le Bearer token est ce que tu rencontreras le plus souvent.

03 · Liste de vérification

Règles de sécurité pour les API keys — coche chacune que tu vas respecter.

Ne pas coller une API key dans un chat public, une issue GitHub ou un message Slack
Ajouter .env à .gitignore avant de créer .env
Mettre la clé dans une variable d'environnement, jamais en dur dans le code
Créer l'API key avec les permissions minimales nécessaires

04 · Compléter

Une API key ne doit jamais être commitée dans _____.

05 · Quiz

Tu as accidentellement commit une API key dans un dépôt GitHub public. Quelle est la toute première chose à faire ?

Supprimer le commit avec git reset --hard
Passer le dépôt en privé
Supprimer le fichier .env du dépôt
Regénérer immédiatement (rotation) l'API key dans le dashboard du fournisseur

Autres leçons de ce chapitre

⚠ L'expérience interactive complète nécessite JavaScript. Active-le et recharge la page.

※ Ce site est un projet éducatif indépendant — pas un produit officiel d'Anthropic. Claude™ est une marque déposée d'Anthropic, PBC.