Geheimnisse schützen

Warum Passwörter und API-Keys nicht in den Code gehören – und wie du sie schützt.

Ziele

  • Du verstehst, was API-Schlüssel und Passwörter im Code bedeuten.
  • Du erkennst die Risiken bei falscher Handhabung.
  • Du lernst, wie man sensible Daten sicher speichert.
  • Du kennst die gängigen Formate und Methoden zur Trennung von Code und Konfiguration.
⏱️ Geschätzte Lesezeit: 5 Minuten

Warum überhaupt schützen?

Viele moderne Anwendungen greifen auf externe Dienste zu – z. B. Google, OpenAI oder Wetterdaten-Anbieter.
Damit diese Dienste erkennen, wer du bist, brauchst du:

  • Passwörter: zum Schutz persönlicher Konten oder Serverzugänge.
  • API-Keys (Application Programming Interface Keys): Zugangsschlüssel, die automatisch mitgeschickt werden, wenn dein Programm eine API verwendet.

Ein API-Key ist wie ein digitaler Ausweis für deine Software. Er identifiziert deine Anwendung gegenüber dem Dienst – und ist oft mit Zugriffsrechten, Kosten oder Nutzungslimits verbunden.

it-ninja warning
Wer deinen API-Key oder dein Passwort kennt, kann auf Dienste in deinem Namen zugreifen – im schlimmsten Fall auf deine Kosten.

Gute Praxis: Trennung von Code und Konfiguration

Sensibler Inhalt wie API-Schlüssel, Passwörter oder geheime Tokens gehört nicht in den Quellcode.
Stattdessen verwendest du Umgebungsvariablen oder .env-Dateien – sie sind lokal, einfach zu nutzen und sicher (wenn man sie nicht aus Versehen committed).

Die konkrete Umsetzung hängt davon ab, ob du mit Java, Node.js, Python oder einer anderen Sprache arbeitest.

Wähle nun die passende Anleitung:

Secrets im Java-Projekt

Zugriff auf API-Keys im Java-Code – mit .env und der Bibliothek dotenv-java

Secrets im Node.js Projekt

Zugriff auf API-Schlüssel in einem TypeScript-Projekt mit dotenv

Zuletzt geändert July 1, 2025: Rework tools module (6915eedfe)