API 密钥确切地"用于什么在很大程度上取决于谁发布它以及它用于什么服务.然而，总的来说，API 密钥是某种形式的秘密令牌的名称，该令牌与 Web 服务(或类似)请求一起提交，以识别请求的来源.密钥可能包含在请求内容的某个摘要中，以进一步验证来源并防止篡改值.

通常情况下，如果可以肯定地识别请求的来源，则它可以作为一种身份验证形式，从而导致访问控制.例如，可以根据执行请求的人员限制对某些 API 操作的访问.对于通过销售此类服务赚钱的公司来说，这也是一种跟踪谁使用该产品进行计费的方式.此外，通过阻止密钥，可以在请求量过高的情况下部分防止滥用。

通常，如果您同时拥有公共和私有 API 密钥，则表明这些密钥本身就是以某种形式使用的传统公共/私有密钥对非对称加密，或相关的数字签名.这些是更安全的技术，可用于积极识别请求的来源，此外，还可保护请求的内容免遭窥探(除了篡改)。