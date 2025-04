Si bien las claves API son parte de la seguridad de las API, no deben ser la única forma en que una organización autentica y valida las llamadas que se realizan a una API. De hecho, aunque las claves API son útiles, no son un método especialmente seguro para autenticar llamadas. Las claves API pueden identificar una aplicación o proyecto específico, pero no pueden validar al usuario individual que está empleando la aplicación que realiza las llamadas. Esto hace que las claves API sean una mala elección para aplicar el control de acceso a las API. Las claves API solo ofrecen identificación y autorización de proyectos, no identificación ni autorización de usuarios.

Piense en una clave API como una contraseña: es una capa de seguridad, pero también un posible punto de falla para una violación de seguridad. Al igual que una contraseña, cualquier persona que tenga acceso a una clave API puede usarla. No hay forma de verificar quién está usando la clave; y las claves rara vez caducan a menos que se regeneren específicamente.

Las claves API empleadas con aplicaciones web no se consideran seguras a través del protocolo de transferencia de hipertexto (HTTP), ya que envían credenciales sin cifrar. Para ser consideradas seguras, las aplicaciones web deben tener una certificación de nivel de sockets seguros (SSL), también conocida como protocolo de transferencia de hipertexto seguro (HTTPS).

Otros métodos de validación para llamadas a API incluyen: