Vandaag heb ik geleerd over verschillende manieren om een API-sleutel te versturen bij een GET-request naar een API-endpoint. Je kunt de sleutel bijvoorbeeld meegeven via de Authorization-header. Dit kan op verschillende manieren, zoals Basic en Bearer.

Bij Basic-authenticatie wordt een gebruikersnaam en wachtwoord omgezet naar een base64-gecodeerde string, met “Basic” als prefix. Dit ziet er uiteindelijk zo uit: Authorization: Basic A54pdk9a. De server decodeert deze key en authenticeert de request.

Een bearer-token werkt door een token te versturen dat de identiteit en rechten van degene die de request doet, controleert. Het token bestaat uit drie onderdelen: de header, die het type van het token bevat; de payload, met informatie over en rechten van de gebruiker die de request doet; en een sleutel. Wanneer je een request naar de server doet met de prefix “Bearer” en het juiste bearer-token, zal de server het token verifiëren en de request authenticeren.

Je kunt je API-sleutel versturen via een custom header of via queryparameters in de URL. Het is wel onveilig om de sleutel in de URL te plaatsen, omdat URL’s vaak worden opgeslagen in browsergeschiedenis en logs, waardoor de sleutel zichtbaar kan worden voor anderen.