Hvem om har tilgang til API-er

Hvem har tilgang til API-er? 

Det finnes både åpne API-er som er tilgjengelige for alle (for eksempel Enturs API, som vi så på tidligere) og lukkede API-er (for eksempel et API som brukes internt i en bedrift eller mellom forretningspartnere).  

Åpne API-er er dokumentert og lisensiert på en slik måte at system- eller dataeier enkelt kan dele tilgang til hvem som helst som de ønsker skal kunne bruke API-et. Lukkede eller proprietære API-er er kun tilgjengelige for leverandøren av systemet eller de som leverandøren bestemmer skal ha tilgang. 

De aller fleste API-er virker i kontekst av en bestemt, autentisert bruker. Et API for kredittkortbetaling på nett vil ikke fungere uten at både nettstedet som bruker API-et og kunden som skal kjøpe noe er identifisert på en sikker måte. Mange API-er er gratis, men krever likevel identifikasjon for å unngå misbruk. 

For å autentisere mot et API, brukes ulike mekanismer for mennesker og maskiner. Et menneske blir som regel autentisert ved brukernavn og passord, eller at en identitetsleverandør, for eksempel Microsoft eller Google, går god brukeren. Sistnevnte er blitt mer og mer vanlig. Maskiner autentiseres oftest med sertifikater, API-nøkler eller passord utstedt av identitetsleverandører eller leverandøren av API-et.