Skilgreining
API-lykill er strengur af stöfum sem virkar sem einfalt öryggisauðkenni til að fá aðgang að application programming interface (API). Hann auðkennir forritið eða notandann sem kallar á þjónustuna sem veitir API-ið og er oft notaður sem grunnform auðkenningar. Í mörgum kerfum, sérstaklega í vef- og crypto-tengdum þjónustum, er API-lykillinn sendur með hverri beiðni svo þjónninn geti ákveðið hvort veita eigi aðgang eða hafna honum. Þótt hann hjálpi til við að stýra aðgangi er API-lykill einn og sér almennt talinn veikt öryggisprimitív og er gjarnan notaður ásamt sterkari auðkenningaraðferðum.
Í crypto- og blockchain samhengi eru API-lyklar algengir til að tengja wallet, viðskiptaróbóta, greiningartól eða önnur hugbúnaðartól við kauphallir eða þjónustur sem veita blockchain-gögn. Lykillinn tengir virkni við tiltekið reikningshald eða verkefni og gerir þannig mögulegt að setja hraðatakmarkanir, heimildir og skráningu. Þar sem hann veitir aðgang að hugsanlega viðkvæmum aðgerðum eða upplýsingum er API-lykill meðhöndlaður sem leyndarmál sem verður að halda leyndu. Ef hann lekur getur hann gert óviðkomandi aðilum kleift að eiga samskipti við API-ið eins og þeir væru lögmætur biðlari.
Í einföldu máli
API-lykill er eins og leynilegt auðkennisnúmer sem app sýnir þjónustu til að sanna hver það er. Þegar forrit talar við netþjónustu sendir það þennan lykil svo þjónustan viti hvaða app er að senda beiðnina. Þjónustan notar síðan lykilinn til að ákveða hvað það app má sjá eða gera. Vegna þessa tengist API-lykill náið auðkenningu og verður að vernda hann fyrir því að vera deilt eða lekið.