正在準備工作環境...
API 認證:鑰匙與通行證
大部分有價值的 API 都需要認證——你得先「證明你是誰」才能拿資料。就像進辦公室要刷門禁卡,打 API 要帶「通行證」。
三種常見的認證方式
| 方式 | 怎麼帶 | 適合場景 | 安全等級 |
|---|---|---|---|
| API Key | URL 參數或 Header | 公開數據、第三方服務 | 低 |
| Bearer Token | Header | 使用者登入後的操作 | 中 |
| OAuth 2.0 | 多步驟流程 | 代替使用者操作帳號 | 高 |
API Key:最簡單的鑰匙
API Key 就是一串字串,放在請求裡證明你有權限:
Bearer Token:登入後的通行證
使用者登入後,系統會給你一個 Token。之後每次請求都帶著它:
Token 的生命週期
API Key 安全守則
在 API Workbench 中管理認證
AI 協作:學了這個,跟 AI 怎麼配合?
理解認證機制後,你可以安全地讓 AI 幫你寫串接腳本,同時確保敏感資訊不外洩。
你的人類優勢:
- 你負責保管 API Key 和 Token,決定誰可以用
- 你能判斷「這個 API 要用哪種認證」——看文件就知道
可以這樣跟 AI 說:
這個 API 需要 Bearer Token 認證。幫我寫一個 fetch 函式,Token 從環境變數 AUTH_TOKEN 讀取,不要寫死在程式碼裡。
練習題
互動示範
DEMO 1可以修改程式碼試玩
DEMO 2可以修改程式碼試玩
DEMO 3可以修改程式碼試玩
DEMO 4可以修改程式碼試玩
DEMO 5可以修改程式碼試玩
挑戰任務
Task 1
組出一個帶 API Key 的 Header 物件,key 名稱是 X-API-Key,值是 my-secret-123。印出 JSON 格式。
Task 2
組出 Authorization header。token 值是 abc123def,格式是 Bearer {token}。印出 header 值。
Task 3
判斷 Token 是否過期。如果 expires_in <= 0 印「Token 已過期」,否則印「Token 有效」。
起始程式碼: const token = { value: 'xyz', expires_in: -100 };
← BackNext Lesson →