Cos'è un'API key?
Capire i token di autenticazione e usarli in sicurezza
⏱ Stima ~4 min
01 · Leggi
JSONPlaceholder non richiede autenticazione — è aperta a tutti. Ma la maggior parte delle API reali sì. Ti danno un'API key: una stringa segreta che identifica chi sei.
Le API key esistono per tre motivi:
1. Rate limiting — prevenire gli abusi (hai N richieste al giorno) 2. Fatturazione — tracciare l'utilizzo per i piani a pagamento 3. Autorizzazione — limitare l'accesso ai dati privati solo a chi ha i permessi
Mandi la key con ogni richiesta, di solito nell'header.
💡 Immagina cosìUn'API key è la tua chiave magnetica dell'hotel. L'hotel sa chi sei, in quali stanze puoi entrare e quando scade. Senza di essa la porta è chiusa. Usare la chiave di qualcun altro è come spacciarsi per un'altra persona.
Punti chiave
- Le API key sono segrete — trattale come password
- Non fare mai commit di API key su Git (aggiungile a .env e metti .env in .gitignore)
- Se per sbaglio la esponi, ruotala (rigenerala) subito
- Nel codice, leggila sempre da una variabile d'ambiente: process.env.API_KEY
02 · Esempio di codice
Ecco come appare l'autenticazione con API key in curl. Il Bearer token è di gran lunga il pattern più comune.
Bearer token (pattern standard)
curl https://api.example.com/data \
-H "Authorization: Bearer YOUR_API_KEY"
Il flag -H aggiunge un header alla richiesta. Authorization: Bearer seguito dalla key è il metodo standard con cui le API verificano la tua identità. Alcune API più vecchie usano altri pattern (query param, header personalizzati), ma il Bearer token è quello che vedrai più spesso.
03 · Lista di controllo
Regole di sicurezza per le API key — spunta quelle che ti impegni a seguire.
- Non incollare API key in chat pubbliche, issue di GitHub o messaggi Slack
- Aggiungi .env a .gitignore prima di creare il file .env
- Metti le key nelle variabili d'ambiente, non hardcodate nel codice
- Crea le API key con i permessi minimi necessari
04 · Completa
Un'API key non dovrebbe mai essere aggiunta in un commit su _____.
05 · Quiz
Hai accidentalmente fatto commit di un'API key in un repo pubblico su GitHub. Qual è la prima cosa da fare?
- Usa git reset --hard per eliminare il commit
- Rendi il repo privato
- Elimina il file .env dal repo
- Ruota (rigenera) subito quella API key dal pannello del provider
Altre lezioni di questo capitolo
⚠ L'esperienza interattiva completa richiede JavaScript. Attivalo e ricarica la pagina.
※ Questo è un progetto educativo indipendente — non è un prodotto ufficiale di Anthropic. Claude™ è un marchio di Anthropic, PBC.