API Key

Ein API Key ist ein kryptographischer Schlüssel — vergleichbar mit einem Passwort —, der den Zugang zu einer Programmierschnittstelle (API) authentifiziert und kontrolliert.

Wer die OpenAI-API nutzen will, braucht einen solchen Key. Bei jeder Anfrage wird er mitgesendet, damit der Anbieter identifizieren kann: Wer fragt an? Ist der Zugang berechtigt? Wie viel wurde bereits verbraucht? Die Abrechnung erfolgt pro Token direkt über den API Key.

In der Praxis gibt es zwei häufige Fehler. Der gefährlichste: den Key versehentlich öffentlich machen, etwa durch ein Git-Commit in einem öffentlichen Repository. Automatisierte Bots durchforsten GitHub systematisch nach solchen Schlüsseln und nutzen sie in Minuten für teuren Missbrauch. Fälle, in denen Entwickler morgens eine vierstellige Rechnung vorfanden, sind dokumentiert.

Der zweite Fehler: den Key fest in den Frontend-Code einbauen. Jeder Browser-Nutzer kann den JavaScript-Quellcode einsehen und den Key extrahieren. Die Lösung ist ein Backend-Proxy — der Key liegt auf dem Server, nie im Browser.

Best Practice: Keys in Umgebungsvariablen speichern, nicht im Code. Rate-Limits und Spending-Caps setzen. Keys regelmäßig rotieren. Für verschiedene Umgebungen (Entwicklung, Produktion) separate Keys verwenden.