API key — строка, идентифицирующая клиента. Передаётся в заголовке (X-API-Key: xxx) или query parameter. Простейший способ аутентификации API. Не привязан к пользователю — идентифицирует приложение. Плюсы: просто реализовать, просто использовать. Минусы: нет expiration (если не реализовать), нет scopes, легко утечь (в логах, URL, git). Храни в базе хешированными (как пароли). Для публичных API — rate limit по ключу. Для серьёзной безопасности используй OAuth/JWT. API key подходит для server-to-server и внутренних интеграций.