O que é uma API key?
Entenda tokens de autenticação e use-os com segurança
⏱ Estim. ~4 min
01 · Ler
O JSONPlaceholder não exige autenticação — é aberto para todo mundo. Mas a maioria das APIs reais exige. Elas te dão uma API key: uma string secreta que identifica você.
API keys existem por três motivos:
1. Rate limiting — evitar abuso (você tem N requisições por dia) 2. Cobrança — rastrear consumo em planos pagos 3. Autorização — restringir acesso a dados privados apenas a quem tem permissão
Você envia a key em cada requisição, geralmente em um header.
💡 Imagine assimUma API key é o cartão-chave do seu quarto de hotel. O hotel sabe quem você é, em quais quartos pode entrar e quando o cartão expira. Sem ele, a porta fica trancada. Usar o cartão de outra pessoa é se passar por ela.
Pontos-chave
- API keys são segredos — trate como senha
- Nunca faça commit de API keys no Git (use .env e adicione ao .gitignore)
- Vazou sem querer? Rotacione (gere uma nova) imediatamente
- No código, sempre leia de variáveis de ambiente: process.env.API_KEY
02 · Exemplo de código
Veja como a autenticação por API key fica no curl. Bearer token é, de longe, o padrão mais comum.
Bearer token (padrão)
curl https://api.example.com/data \
-H "Authorization: Bearer YOUR_API_KEY"
A flag -H adiciona um header à requisição. Authorization: Bearer seguido da key é o jeito padrão de APIs autenticarem identidade. Algumas APIs antigas usam outros padrões (query param, header customizado), mas Bearer token é o que você vai ver mais.
03 · Lista de verificação
Regras de segurança para API keys — marque todas que você vai seguir.
- Não cole API keys em chats públicos, issues do GitHub ou mensagens do Slack
- Antes de criar o .env, adicione .env ao .gitignore
- Coloque a key em variáveis de ambiente, não hardcoded no código
- Ao criar uma API key, use o mínimo de permissões necessário
04 · Preencher
Você nunca deve fazer commit de uma API key em _____.
05 · Quiz
Você fez commit, sem querer, de uma API key em um repositório público do GitHub. Qual é a primeira coisa a fazer?
- Deletar o commit com git reset --hard
- Tornar o repositório privado
- Apagar o arquivo .env do repositório
- Rotacionar (gerar de novo) a API key imediatamente no painel do provedor
Outras lições deste capítulo
⚠ A experiência interativa completa precisa de JavaScript. Ative-o e recarregue a página.
※ Este é um projeto educacional independente — não é um produto oficial da Anthropic. Claude™ é uma marca registrada da Anthropic, PBC.