ひとことで言うと
APIキーは、そのAPIを使う相手を見分けるための合言葉付きの利用者証です。
API は誰でも無制限に使えるわけではありません。 そこで、呼び出してきた相手が「このサービスの利用者か」を見分ける手がかりとして、APIキーが使われます。
たとえ話でもう少し詳しく
APIキーは、受付窓口で見せる利用者証に似ています。
- 窓口そのものが API
- その窓口を使ってよい相手か見る手がかりが APIキー
- 受付は、見せられた番号を見て「この利用者からの依頼だな」と判断する
システムの世界でも同じです。 アプリやスクリプトが API にお願いを出すとき、APIキーを一緒に送ると、受ける側はどの利用者や契約にひもづく呼び出しかを判断しやすくなります。 その結果、利用制限をかけたり、使った量を記録したり、不正利用を見つけやすくなったりします。
よく出る場面・使いどころ
- 外部サービスの天気、地図、決済 API を自社サービスにつなぐとき
- ノーコード連携や社内自動化で API を呼び出すとき
- 利用量に応じた課金や制限をかけたいとき
- どのアプリがどれだけ API を使ったか記録したいとき
実務で気にするポイント
- APIキーは公開リポジトリやフロント画面にそのまま置かない
- 漏えいに備えて、再発行や無効化の手順を用意しておく
- 使える機能やアクセス元をしぼれるなら、最小限にする
- APIキーだけで十分か、別の認証や署名も必要かを確認する
注意: APIキーは便利ですが、これだけで強い本人確認になるとは限りません。窓口を使うための手がかりにはなっても、権限の細かな制御や通信の安全性は別の仕組みと合わせて考える必要があります。