Definition

API-Schlüssel (API Key)

API steht für Anwendungsprogrammierschnittstelle (Applicaction Programming Interface). APIs werden für Softwareanwendungen zum Senden und Empfangen von Daten verwendet. APIs können auch ein Programm oder einen Dienst mit einem anderen verbinden, um Funktionen gemeinsam zu nutzen. Um eine Verbindung zu einer anderen API herzustellen oder mit ihr zu kommunizieren, ist ein API-Schlüssel erforderlich. API-Schlüssel sind ein erster Schritt zur Sicherheit von Cloud-APIs.

Der API-Schlüsselprozess ähnelt der Benutzerauthentifizierung für Webanwendungen und mobile Geräte - der API-Aufruf beginnt damit, dass eine API eine andere aufruft und dann den API-Schlüssel weitergibt, um Zugang zu erhalten.

Der API-Schlüssel bedeutet, dass die verbindende API ein „Passwort“ oder einen Schlüssel und eine Reihe von Zugriffsrechten hat. Eine Anwendung, die beispielsweise medizinische Formulare an Patienten sendet, müsste ihre eigene API mit der einer Anwendung verbinden, die medizinische Formulare speichert. Der Eigentümer der API für medizinische Formulare weist einen API-Schlüssel zu, der der ersten Anwendung den Zugriff auf die medizinischen Formulare ermöglicht und nichts anderes.

Wann werden API-Schlüssel verwendet?

API-Schlüssel werden für die Authentifizierung eines aufrufenden Programms bei einer anderen API verwendet - in der Regel, um zu bestätigen, dass ein Projekt zur Verbindung berechtigt ist. Projektautorisierungsregeln werden vom API-Eigentümer oder der Quelle erstellt und verwaltet. API-Schlüssel können als erster Authentifizierungs- oder Sicherheitsschritt dienen, indem ein sicheres Authentifizierungs-Token übergeben wird.

Ein API-Schlüssel kann auch in die Software einer beliebigen Programmiersprache eingebettet sein, zum Beispiel in JavaScript oder Python. Welche Programmiersprache verwendet wird, hängt von der API ab, zu der der Nutzer eine Verbindung herstellen möchte. Wenn ein Nutzer beispielsweise eine Anwendung mit Google Maps verbinden möchte, muss er einen API-Schlüssel von Google erhalten, um mit JavaScript auf die Maps-API zugreifen zu können. Die Erstellung des API-Schlüssels hängt davon ab, mit welchem Host sich der Nutzer verbindet: Google Cloud Platform, Amazon Web Services (AWS), Microsoft Azure oder eine beliebige Anzahl anderer API-Ersteller oder Eigentümer.

API-Schlüssel werden nicht für den Zugriff auf private Daten verwendet. API-Schlüssel werden in der Regel für Web- und Mobilanwendungen verwendet, die nicht über einen angeschlossenen Backend-Server verfügen. Wenn kein Backend-Server vorhanden ist, sind die mobilen oder Web-Anwendungen darauf angewiesen, ihre Daten über eine Verbindung zu APIs zu erhalten. Der API-Schlüssel stellt die Verbindung her und kann je nach den Regeln des API-Eigentümers die Zugriffsraten zu Abrechnungszwecken verfolgen.

Abrufen und Verwenden eines API-Schlüssels

Die Verwendung eines API-Schlüssels hängt von der API ab, mit der eine Verbindung hergestellt wird. Die Regeln für den Erhalt eines bestimmten API-Schlüssels sind Sache des Entwicklers oder Herausgebers der API. Die folgenden Schritte sind allgemeine Schritte, die für die meisten API-Anbieter gelten:

  • Greifen Sie auf die Cloud-basierte Konsole des Anbieters zu, dem die gewünschte API gehört. Wenn ein Benutzer beispielsweise Google Maps verwenden möchte, sollte er sich mit der Google Cloud Platform Console verbinden.
  • Wählen Sie ein bereits angebotenes Projekt oder erstellen Sie ein neues Projekt, um den API-Schlüssel anzufordern.
  • Der Nutzer sollte die gewünschte API angeben, mit der er sich verbinden möchte, und definieren, wie er sie zu nutzen gedenkt. Dadurch werden die spezifischen Zugriffsrechte des Schlüssels festgelegt, auf die zugegriffen werden muss.
  • Der Nutzer sollte die Verwendung seines API-Schlüssels einschränken, um dessen Sicherheit zu gewährleisten. Im Allgemeinen gibt es zwei Arten von Beschränkungen: Anwendung und API.
  • Anwendungsbeschränkung bedeutet, dass nur eine Website, ein Webserver mit einer IP-Adresse oder eine mobile App (Android oder iOS) eine Verbindung mit dem Schlüssel herstellen darf.
  • Die API-Beschränkung beschränkt die Verwendung des API-Schlüssels auf eine bestimmte Gruppe von APIs oder SDKs. Verbindungsanfragen schlagen fehl, wenn nicht definierte APIs oder SDKs versuchen, den Schlüssel zur Verbindung zu verwenden.

Wie verwenden die verschiedenen Plattformen API-Schlüssel?

API-Schlüssel sind sinnvoll, wenn es darum geht, Anwendungen miteinander zu verbinden, um Daten gemeinsam zu nutzen, oder um eine Verbindung zu anderen Systemen herzustellen, die die benötigten Daten bereitstellen, ohne dass ein Programmieraufwand erforderlich ist.

Um zum Beispiel Amazon Web Services für die Verwaltung von Backend-Servern zu nutzen, gibt es eine Reihe von APIs, mit denen sich Benutzer in der Cloud verbinden können, um diese Funktionen auszuführen. Wie bei vielen Anbietern sind einfache API-Verbindungen kostenlos oder erfordern eine Vereinbarung und eine Nutzungsgebühr.

Die Nutzung von APIs ist weit verbreitet und nimmt zu, vor allem, weil die Konnektivität von Geräten und Anwendungen zunimmt. Google Maps ist zum Beispiel überall präsent. Fast jede Mobil- oder Webanwendung nutzt Google Maps, um Adress- und Standortdaten bereitzustellen.

API-Verbindungen bestehen zwischen staatlichen Stellen, Gesundheitssystemen und Anbietern - im Grunde überall dort, wo Datenquellen sicher gemeinsam genutzt werden können.  Nahezu jedes Softwareentwicklungsunternehmen verfügt über eine Bibliothek von APIs, von denen einige kostenlos zur Verfügung stehen und für die andere Vereinbarungen und Gebühren erforderlich sind. API-Schlüssel fördern die Verbindungen, die Leben, Geräte und Daten miteinander verknüpfen.

Diese Definition wurde zuletzt im November 2023 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

ComputerWeekly.de
Close