La clé API (API key) est une chaîne utilisée pour authentifier les applications lorsqu’elles effectuent une requête API. Pour les services API qui traitent des données sensibles, les clés privées sont un élément fondamental de l’architecture, car elles permettent de fournir l’accès uniquement aux données et services pour lesquels une autorisation est accordée.

Les clés API sont également largement utilisées pour la surveillance et la gestion des API: elles permettent en effet de suivre l’utilisation des services par les différents clients et d’appliquer des limitations d’appels, en prévenant les abus et les risques pour la sécurité.

Clé API: qu’est-ce que c’est?

Une clé API est un identifiant unique, généralement une chaîne de caractères générée aléatoirement, qui est utilisée pour authentifier les clients et leur fournir l’accès aux API.

L’application ajoute sa clé API à chaque requête envoyée à une API ou à un ensemble de services API, qui peuvent utiliser la clé pour identifier l’application et autoriser la requête.

La clé API est un code à conserver soigneusement et à garder confidentiel, exactement comme un mot de passe. Contrairement à un mot de passe, cependant, la clé API ne fait pas référence à un utilisateur réel et n’a pas besoin d’être modifiée périodiquement pour garantir sa sécurité.

Clés API publiques et privées: différences et utilités

Il existe deux principaux types de clés utilisées pour accéder à des données et services via API : les clés publiques et les clés privées.

Les clés API publiques sont celles utilisées pour accéder à des données non sensibles et à des fonctionnalités ne nécessitant pas d’authentification. Elles sont généralement utilisées pour intégrer des fonctionnalités ou services d’autres applications : ce sont par exemple celles qui permettent d’accéder aux cartes de Google Maps ou aux fonctions des réseaux sociaux.

L’utilité des clés API publiques réside essentiellement dans la surveillance : elles sont en effet utilisées pour suivre l’utilisation des services et appliquer un «rate limiting», en limitant le nombre de requêtes qu’un utilisateur peut effectuer vers une API pendant un certain laps de temps.

Les clés API privées sont en revanche utilisées pour accéder à des données sensibles ou à des services que l’on souhaite contrôler, comme par exemple les services de paiement. Ces clés sont délivrées par les fournisseurs de services API à un utilisateur spécifique et ne doivent pas être partagées avec d’autres.

Parfois, les clés publiques et privées sont utilisées ensemble: cela se produit par exemple lorsque le client utilise la clé privée pour générer une signature numérique à insérer dans la requête. Dans ce cas, le serveur API peut vérifier la signature numérique à l’aide de la clé publique correspondante. Utilisées de cette manière, les clés API permettent de remonter aux utilisateurs spécifiques ayant envoyé les requêtes, garantissant un niveau élevé de sécurité.

Comment utiliser une clé API?

Pour pouvoir utiliser une clé API privée afin d’accéder à un service fourni via API, il est nécessaire de la demander au fournisseur des API en question. La première étape consiste à créer un compte auprès du fournisseur des API et à choisir le type de service à utiliser.

À ce moment-là, le fournisseur fournit la clé, qui doit être copiée et conservée avec le plus grand soin: dans la majorité des cas, en effet, la clé est une donnée à laquelle le fournisseur n’a pas accès, et donc impossible à récupérer en cas de perte.

Une fois la clé obtenue, il suffira de l’insérer dans les requêtes API: selon les instructions du fournisseur, la clé peut être insérée dans la requête, dans l’en-tête ou comme cookie.

Quand utiliser les clés API ?

Utilisées seules, les clés API ne sont pas le système d’authentification le plus sûr pour les applications API, car elles permettent d’identifier l’application appelante mais pas l’utilisateur final. Pour les services nécessitant un niveau de sécurité plus élevé, elles sont donc utilisées en association avec d’autres clés ou des systèmes plus élaborés comme ceux utilisant des tokens ou OAuth.

Puisqu’elles permettent d’identifier l’application d’origine de certaines requêtes, les clés API sont particulièrement utiles dans les domaines suivants:

• Sécurité: elles empêchent l’accès non autorisé aux données et ressources
• Surveillance: elles permettent de suivre l’utilisation des API par les différents utilisateurs (utile à des fins de facturation mais aussi pour résoudre d’éventuels problèmes)
• Gestion: elles permettent d’appliquer un «rate limit», c’est-à-dire de limiter le nombre d’appels API qu’un client peut faire dans une certaine période, en évitant les abus et les risques de sécurité
• Automatisation des processus: en tant qu’élément immuable de son propre écosystème API, la clé permet d’automatiser les requêtes et de générer des statistiques d’utilisation

Authentification via clé API et token

Les clés API sont un élément fondamental de la sécurité des applications web, car elles permettent de contrôler l’accès aux données et de surveiller l’utilisation du logiciel. D’un autre côté, les clés API peuvent être partagées avec des tiers et ne représentent donc pas la forme d’authentification et d’autorisation la plus sûre pour une application.

Dans l’architecture des services Openapi, les clés API sont utilisées pour générer un token qui permet d’accéder à une ou plusieurs ressources pour une durée déterminée. La clé API, en ce sens, garantit que chaque client peut accéder uniquement aux services pour lesquels il dispose d’une autorisation, mais permet aussi de surveiller l’activité des différentes applications — en fournissant des données essentielles pour offrir un service toujours plus efficace et personnalisé.