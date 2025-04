Embora as chaves de API façam parte da segurança de API, elas não devem ser a única maneira de uma organização autenticar e validar as chamadas feitas para uma API. Na verdade, embora as chaves de API sejam úteis, elas não são um método especialmente seguro de autenticação de chamadas. As chaves de API podem identificar uma aplicação ou projeto específico, mas não podem validar o usuário individual que está usando a aplicação que está fazendo as chamadas. Isso torna as chaves de API uma opção ruim para impor o controle de acesso à API. As chaves de API oferecem apenas identificação e autorização do projeto, não identificação ou autorização do usuário.

Pense em uma chave de API como uma senha: ela é uma camada de segurança, mas também um ponto potencial de falha para uma violação de segurança. Como uma senha, qualquer pessoa que tenha acesso a uma chave de API pode usá-la. Não há como verificar quem está usando a chave; e as chaves raramente expiram, a menos que sejam especificamente regeneradas.

Chaves de API usadas com aplicações da web não são consideradas seguras pelo protocolo de transferência de hipertexto simples (HTTP) porque enviam credenciais não criptografadas. Para serem considerados seguros, as aplicações da web devem ter uma certificação SSL (Secure Sockets Layer), também conhecida como protocolo de transferência de hipertexto seguro (HTTPS).

Outros métodos de validação para chamadas de API incluem: