APIキー
外部から API を操作する時に使われる、API ユーザーを認証するためのもの。通常はランダム文字列。
パスワードに対して、桁数が十分にあること、ランダムな文字列になることから、脆弱性はそこまで高くないと考えられている。
漏洩の危険性は常にある。特に共通の API キーを製品に含むような形でリリースするのであれば、それが漏洩となってしまう。
API キーは製品単位ではなく、エンドユーザー+製品単位であることが望まれる。
この場合、何らかの方法で個別に API キーを発行する仕組みが必要となる。
API キーが漏洩した場合には、無効化できる仕組みが必要になる。