什麼是 API Key?
搞懂驗證 token、安全使用它
⏱ 預估 ~4 分鐘
01 · 讀一讀
JSONPlaceholder 不需要驗證 — 對所有人開放。但大部分真實 API 都要。它們給你一個 API key:一個識別你身分的秘密字串。
API key 存在的三個原因:
1. 流量限制 — 防止濫用(你每天 N 個請求) 2. 計費 — 追蹤付費方案的用量 3. 授權 — 限制只有有權限的人能看私有資料
你每個請求都帶 key,通常放在 header。
💡 想像一下API key 是你的飯店房卡。飯店知道你是誰、你能進哪些房間、什麼時候到期。沒它門就鎖著。拿別人的卡就是冒名頂替。
重點整理
- API key 是秘密的 — 當密碼對待
- 不要把 API key commit 到 Git(透過 .env 加進 .gitignore)
- 不小心外洩了,立刻 rotate(重新產生)
- 在程式碼裡永遠從環境變數讀:process.env.API_KEY
02 · 看程式碼
下面是 curl 裡 API key 驗證的樣子。Bearer token 是目前為止最常見的模式。
Bearer token(標準模式)
curl https://api.example.com/data \
-H "Authorization: Bearer YOUR_API_KEY"
-H 旗標在請求加 header。Authorization: Bearer 後面加 key 是 API 驗證身分的標準做法。有些舊 API 用別的模式(query param、自訂 header),但 Bearer token 是你最常看到的。
03 · 確認清單
API key 安全規則 — 勾選你會遵守的每一條。
- 不要把 API key 貼到公開聊天室、GitHub issue、Slack 訊息
- 建立 .env 之前,先把 .env 加到 .gitignore
- 把 key 放環境變數,不要寫死在程式碼裡
- 建立 API key 時用最小所需權限
04 · 填空
API key 永遠不該 commit 到 _____。
05 · 選擇題
你不小心把 API key commit 到一個公開的 GitHub repo。你第一件事該做什麼?
- 用 git reset --hard 刪掉 commit
- 把 repo 設成私有
- 從 repo 刪掉 .env 檔
- 立刻在提供者後台 rotate(重新產生)那個 API key
⚠ 完整互動體驗需要 JavaScript。請啟用 JavaScript 後重新整理。
※ 本站為獨立繁中教學專案,非 Anthropic 官方產品。Claude™ 為 Anthropic, PBC 商標。