API 密钥的“确切”用途很大程度上取决于它的颁发者以及它的用途。然而,总的来说,API 密钥是某种形式的秘密令牌的名称,该令牌与 Web 服务(或类似)请求一起提交,以便识别请求的来源。密钥可以包含在请求内容的某些摘要中,以进一步验证来源并防止篡改值。
通常,如果您可以明确识别请求的来源,则它可以作为一种身份验证形式,从而实现访问控制。例如,您可以根据执行请求的人员来限制对某些 API 操作的访问。对于通过销售此类服务赚钱的公司来说,这也是跟踪谁使用该服务进行计费的一种方式。此外,通过阻止密钥,您可以部分防止请求量过高时的滥用。
一般来说,如果您同时拥有公钥和私钥 API 密钥,则表明这些密钥本身就是以某种形式使用的传统公钥/私钥对。非对称密码学 http://en.wikipedia.org/wiki/Public-key_cryptography或相关的数字签名。这些是更安全的技术,用于主动识别请求的来源,此外,还可以保护请求的内容免遭窥探(除了篡改之外)。