Slovník pojmů

API klíč

API klíč (API key) je unikátní textový řetězec, který slouží k identifikaci a autorizaci aplikace nebo uživatele při komunikaci s programovým rozhraním (API). Funguje jako heslo, které umožňuje přístup ke službám třetích stran.

Rychlá odpověď: co je API klíč a jak ho získat

API klíč je alfanumerický řetězec, který webu nebo aplikaci dovolí bezpečně komunikovat s externí službou. Získáte ho v administraci poskytovatele služby (například Google, Stripe, FAPI, Mapy.cz nebo e-mailingový nástroj), obvykle v části API, Integrace, Developer nebo Nastavení projektu. Když web nebo aplikace odesílá požadavek na API, přiloží tento klíč jako součást požadavku — typicky v HTTP hlavičce nebo jako parametr URL. Server poskytovatele klíč ověří a podle něj rozhodne, zda požadavek povolí. Klíč zároveň slouží k měření využití API, účtování poplatků a omezení přístupu (rate limiting). Jeden API klíč obvykle identifikuje jeden projekt, web nebo aplikaci.

K čemu se API klíče používají

API klíče se používají v široké škále scénářů: • Integrace platebních bran — Stripe, GoPay, Comgate a další platební služby vyžadují API klíče pro zpracování transakcí. • Mapové služby — Google Maps, Mapy.cz a Mapbox potřebují klíč pro zobrazování map. • E-mailové služby — Mailchimp, SendGrid a další systémy pro rozesílání e-mailů. • AI služby — poskytovatelé umělé inteligence a jazykových modelů. • Analytické nástroje — Google Analytics, Hotjar a měřicí systémy. V praxi se s API klíči setká téměř každý web, který využívá služby třetích stran.

Bezpečnost API klíčů

API klíč je citlivý údaj, se kterým je třeba zacházet jako s heslem. Únik klíče může vést k neoprávněnému přístupu ke službám, finanční ztrátě (u placených API) nebo zneužití dat. Základní pravidla bezpečnosti: • Nikdy nevkládejte API klíče do veřejných repozitářů (GitHub, GitLab). • Ukládejte klíče do environment proměnných (.env soubory) nebo správce tajemství (secret manager). • Omezte oprávnění klíče na minimum potřebné pro danou funkci. • Nastavte IP whitelist, pokud to poskytovatel umožňuje. • Pravidelně klíče rotujte — měňte je v pravidelných intervalech. • Monitorujte využití — neobvyklý nárůst požadavků může značit kompromitaci.

Rozdíl mezi API klíčem, tokenem a OAuth

API klíč je nejjednodušší formou autentizace — identifikuje aplikaci, ale nerozlišuje jednotlivé uživatele. Bearer token (například JWT) je krátkodobý autentizační údaj, který identifikuje konkrétního uživatele a má omezenou platnost. OAuth 2.0 je komplexní autorizační protokol, který umožňuje aplikaci přistupovat k prostředkům uživatele (např. Google účet) bez znalosti jeho hesla. Používá se tam, kde je potřeba přístup jménem uživatele — například přihlášení přes Google nebo Facebook. Pro jednoduché server-to-server integrace obvykle stačí API klíč. Pro uživatelsky orientované aplikace je vhodnější OAuth.

API klíče ve WordPress a webových projektech

WordPress projekty běžně využívají API klíče pro integraci s externími službami — platební brány ve WooCommerce, mapové widgety, formulářové služby (reCAPTCHA), e-mailový marketing a AI pluginy. Ve WPDistro.cz dbáme na bezpečné ukládání API klíčů v každém projektu. Používáme environment proměnné, wp-config.php konstanty a v případě potřeby propojení se správci tajemství. Součástí naší práce je i pravidelný audit API klíčů a jejich oprávnění.

Máte API klíče rozházené po pluginech a e-shopu?

U firemních WordPress webů a WooCommerce e-shopů kontrolujeme, kde jsou API klíče uložené, jaká mají oprávnění a jestli nejsou zbytečně vystavené ve frontendu, repozitáři nebo starých pluginech. Umíme také napojit platební bránu, CRM, fakturaci, e-mailing nebo AI službu tak, aby integrace byla měřitelná a bezpečná.

Poptat bezpečný audit integrací Správa webu a WordPressu Automatizace firemních procesů WooCommerce e-shop na míru

Související pojmy

FTP WordPress Opt-out Push notifikace

Časté dotazy

Nejčastější otázky o API klíčích

API klíč obvykle najdete v administraci služby, kterou používáte — v sekci jako „API", „Integrace", „Developer" nebo „Nastavení". Například u Google služeb ho naleznete v Google Cloud Console, u Stripe v Dashboard pod sekcí Developers.

Funkčně je API klíč podobný heslu — oba slouží k ověření přístupu. Rozdíl je v tom, že API klíč identifikuje aplikaci nebo projekt, zatímco heslo identifikuje konkrétního uživatele. S API klíčem by se ale mělo zacházet se stejnou úrovní ochrany jako s heslem.

Pokud API klíč unikne (například na veřejný GitHub), může ho kdokoli použít k přístupu ke službě vaším jménem. U placených API to může znamenat nečekané účty, u služeb s citlivými daty hrozí únik informací. Klíč je třeba okamžitě revokovat a vygenerovat nový.

Ano, většina služeb umožňuje vytvoření více klíčů s různými oprávněními. Je to doporučená praxe — použijte samostatný klíč pro vývoj, testování a produkci, každý s minimálními potřebnými oprávněními.

API klíč nepatří do veřejného JavaScriptu ani do textu stránky. Ve WordPressu je bezpečnější ukládat citlivé klíče do wp-config.php, environment proměnných nebo do serverové konfigurace a ve frontendu používat jen omezené veřejné klíče, pokud to služba podporuje.

Audit dává smysl po změně dodavatele, redesignu webu, napojení nové platební brány, CRM nebo AI služby a vždy, když máte podezření, že klíč unikl. Kontroluje se umístění klíčů, oprávnění, limity, logy využití a možnost jejich rotace.

Potřebujete pomoc s vaším webem?

Nezávazná konzultace zdarma. Ukážeme vám, jak AI zlepší váš web.

Kontaktujte nás