API キーの設計で学んだこと

記事

• ジュニア開発者によるAPIキー設計の解説：プレフィックススラグ、チェックサム、ランダムhex
• 不透明トークン・エンコードされたメタデータ・チェックサム方式のトレードオフを検討
• 業界標準の「プレフィックス + base32(id + シークレット)」パターンに行き着く

ディスカッション

• チェックサムの本来の目的：タイポ検出ではなく、流出したキーをシークレットスキャナーが検知しやすくするため
• スラグプレフィックスの主な用途もエンドユーザー向けではなく、GitHub・GitGuardianなどの自動スキャナー向け
• 批判意見：シンプルなbearerトークンに対して過剰設計；512ビット全体でもキャッシュライン1本に収まる
• 投稿者はジュニアとして学習中であることを認めており、批判がありながらも複数のコメンターが好意的に対応

HN（Hacker News）でディスカッションを読む

原文（英語）: My adventure in designing API keys