Se sugirió a mi compañero de trabajo ya mí que protegiéramos con contraseña nuestra API además de requerir una clave API. Esto no parece estar haciendo nada más seguro, ya que si la amenaza obtuvo acceso a nuestra clave API, probablemente también obtuvieron acceso a la contraseña.
¿Es esta práctica estándar asegurar con una clave API y una contraseña? He buscado por todas partes pero no he visto nada que sugiera hacerlo.
El punto de una clave API es autenticar (o al menos identificar) la aplicación, no el usuario. Algo llamado una "clave de API" normalmente no determina a qué datos puede acceder una solicitud, sino cuántas solicitudes se pueden realizar en un cierto intervalo de tiempo a través de una cuenta de usuario determinada. Es una forma de imponer cuotas de acceso, para evitar la denegación de servicio, sin bloquear por completo a un usuario simplemente porque ha utilizado una aplicación con errores o la ha utilizado un poco más de lo que le gustaría.
Si su API sirve datos públicos, no hay razón para tener una contraseña además de la clave API. La clave API es la contraseña, en este caso.
Lea otras preguntas en las etiquetas key-management appsec api