APIs · curl
Proteger tus llaves y no pagar de más
Una API key es una contraseña: quien la tiene puede gastar a tu nombre. Y una cuota mal respetada puede facturarte de más o bloquearte. Cuatro reglas te evitan los dos sustos.
Las cuatro reglas
- Las llaves son secretas. Nunca en el HTML de tu sitio ni en repositorios públicos; van en variables de entorno. Y restríngelas (por API y por dominio o IP) donde la plataforma lo permita.
- Respeta los límites. Toda API tiene cuota. Tu script debe esperar entre llamadas — pídeselo así a la IA: "con pausa de un segundo entre peticiones".
- Revisa el precio antes de iterar. Muchas APIs tienen capa gratuita generosa, pero un ciclo mal hecho sobre miles de elementos puede facturarte.
- Guarda lo que ya pediste. No vuelvas a pedir lo mismo: que tu script guarde las respuestas en local y pida solo lo nuevo.
1. Saca la llave del código
En lugar de escribir la llave dentro del script, guárdala en una variable de entorno y léela desde ahí. En la terminal:
export MI_API_KEY="tu-llave-secreta-aqui"
curl "https://api.ejemplo.com/datos?apikey=$MI_API_KEY"Así la llave nunca queda escrita en un archivo que puedas compartir o subir por error. La guía de APIs detalla las cuatro reglas.
Tareas relacionadas
Preguntas frecuentes
¿Dónde guardo mi API key para que no se filtre?
En una variable de entorno, nunca dentro del HTML de tu sitio ni en un repositorio público. Y restringe la llave por dominio o IP en el panel de la plataforma cuando lo permita, para que aunque se filtre no sirva desde otro lado.
¿Cómo evito una factura sorpresa de una API?
Lee qué cobra cada llamada antes de correr un ciclo grande, pídele a la IA una pausa entre peticiones para no rebasar la cuota, y guarda en local lo que ya descargaste para no volver a pedirlo.