API キーとは?
認証トークンを理解し、安全に使う
⏱ 想定 ~4 分
01 · 読む
JSONPlaceholder は認証不要で誰でも使えます。でも本物の API のほとんどは認証を要求します。彼らがくれるのが API キー : あなたを識別する秘密の文字列です。
API キーが存在する理由は 3 つ:
1. レート制限 —— 乱用を防ぐ (1 日あたり N 件まで) 2. 課金 —— 有料プランの利用量を追跡する 3. 認可 —— 権限のある人だけがプライベートデータを見られるようにする
各リクエストにキーを添えて送ります。たいていはヘッダーに入れます。
💡 想像してみてくださいAPI キーはホテルのルームキー (カードキー) のようなものです。ホテルはあなたが誰で、どの部屋に入れるか、いつまで有効かを知っています。なければドアは閉ざされたまま。他人のカードを使うのはなりすましです。
ポイントまとめ
- API キーは秘密 —— パスワードと同じ扱いを
- API キーを Git にコミットしない ( .env を .gitignore に追加する)
- うっかり漏れたら、すぐにローテーション (再発行) する
- コードでは必ず環境変数から読む: process.env.API_KEY
02 · コード例
curl で API キー認証をするときの見た目はこんな感じです。 Bearer トークンが圧倒的に一般的なパターンです。
Bearer トークン (標準パターン)
curl https://api.example.com/data \
-H "Authorization: Bearer YOUR_API_KEY"
-H フラグはリクエストにヘッダーを追加します。 Authorization: Bearer のあとにキーを置くのが、 API が認証する標準的な方法です。古い API ではほかのパターン (クエリパラメータ、独自ヘッダー) を使うこともありますが、もっとも目にするのは Bearer トークンです。
03 · チェックリスト
API キーのセキュリティルール —— あなたが守る項目にチェックを入れてください。
- API キーを公開チャット、 GitHub Issue、 Slack メッセージに貼らない
- .env を作る前に .env を .gitignore に追加する
- キーは環境変数に入れ、コードに直接書き込まない
- API キーを作るときは必要最小限の権限にする
04 · 空欄補充
API キーは絶対に _____ にコミットしてはいけません。
05 · クイズ
うっかり API キーを公開の GitHub リポジトリにコミットしてしまいました。最初に何をすべきですか?
- git reset --hard でコミットを消す
- リポジトリをプライベートに変更する
- リポジトリから .env ファイルを削除する
- プロバイダの管理画面ですぐに API キーをローテーション (再発行) する
⚠ 全機能のインタラクティブ体験には JavaScript が必要です。JavaScript を有効にして再読み込みしてください。
※ このサイトは独立した教育プロジェクトで、Anthropic の公式製品ではありません。Claude™ は Anthropic, PBC の商標です。