在使用或設計API時，安全性永遠是最重要的一環，當API涉及用戶資料、金流或系統控制時，如何驗證使用者身份、保護授權資訊，就成為關鍵課題，這時API金鑰（API Key）與Token就扮演了重要角色。

API金鑰可以想像成「服務使用者的身分證」，每個申請API的開發者都會獲得一組獨特的金鑰，用來識別請求的來源。例如，如果有上千名開發者同時使用同一個天氣API，伺服器就能依照金鑰分辨每個請求的來源、追蹤使用量，或在發現異常行為時封鎖特定金鑰，避免整個系統被濫用。

另一種常見方式是使用Bearer Token，通常在使用者登入或授權後由伺服器產生，並具備有效期限，相較於單純的API Key，Token可以攜帶更多資訊，例如使用者角色、可用資源範圍等，這樣的設計能讓API 在授權控制上更精細，也更安全。

在呼叫需要授權的API時，通常會把金鑰或Token放在HTTP Header 中。例如以下是一個使用Python呼叫授權API的範例：

import requests

url = "https://api.example.com/data"
headers = {
    "Authorization": "Bearer YOUR_API_TOKEN"
}

response = requests.get(url, headers=headers)

if response.status_code == 200:
    print("成功取得資料：")
    print(response.json())
else:
    print(f"發生錯誤：{response.status_code}")

這段程式示範了最基本的授權機制：伺服器會檢查 Authorization 標頭中帶的Token是否正確，若驗證成功就回傳資料；若金鑰錯誤、過期或缺少授權，則會回傳像是 401 Unauthorized 或 403 Forbidden 的錯誤訊息。

在實際開發中，金鑰與Token不應該直接寫在程式碼裡，特別是在會上傳至GitHub或公開分享的專案中，更安全的做法是把金鑰存放在 環境變數（Environment Variables） 或 設定檔（config file） 裡，再由程式讀取，即使程式被公開，也不會洩漏敏感資訊。

除了基本的身份驗證，API服務提供者也常會設定使用限制（Rate Limit），是一種防止濫用的機制，能限制單一金鑰在一定時間內可發送的請求數量。例如，每分鐘最多100次請求，可以避免惡意攻擊或過度頻繁的存取導致伺服器負載過高。

金鑰管理是API安全設計中不可或缺的環節，妥善使用與保護API Key，不僅能防止資料外洩與未授權使用，也能確保整個服務在長期運作中維持穩定與信任。