API キーとは?

外部サービス連携で使う API キーの役割と、安全な扱い方を整理したガイドです。

要点

API キーは、サービスやアプリを識別してアクセスを許可するための秘密値です。公開しない、フロントエンドに埋め込まない、用途ごとに分けるのが基本です。

API キーを生成する

API キーの役割

API キーは、呼び出し元を識別して、利用を許可するために使われます。サービスによっては認証の代わりに使われることもありますが、多くの場合は「誰が呼んだか」を判断するための秘密値として扱います。

どこに置くべきか

API キーは環境変数やシークレット管理サービスに置き、サーバー側からだけ参照するのが基本です。ブラウザで動くコードや公開リポジトリにそのまま含めるのは避けてください。

  • フロントエンドへ直接埋め込まない
  • `.env.local` やシークレット管理に入れる
  • 公開用のキーと管理用のキーを混ぜない

運用で気をつけること

用途ごとにキーを分けておくと、漏えい時の影響範囲を絞りやすくなります。権限が絞れるなら最小権限にし、使わなくなったキーは早めに失効させてください。

API キーは「持っているだけで使える」設計のサービスも多いため、漏えい対策とローテーション手順を先に決めておくと安心です。

関連ガイド

JWT シークレットとは?

秘密値を扱うときの基本的な考え方を確認できます。

API キー生成ページ

ブラウザ内でそのまま使える API キーを作成できます。