Большинство API защищены: чтобы получить данные, нужно доказать, кто вы. Это аутентификация. Самый распространённый способ в REST — токены.
Схема такая: вы один раз входите (логин/пароль), сервер выдаёт токен — длинную строку-пропуск. Дальше каждый запрос сопровождают этим токеном в заголовке Authorization:
Authorization: Bearer eyJhbGciOi... (токен)
Сервер по токену понимает, кто вы и что вам можно. Без токена защищённый эндпоинт ответит 401 (не авторизован), а при нехватке прав — 403 (запрещено).
Простые API иногда используют API-ключ — выданную строку, которую передают в заголовке или query-параметре. Токен или ключ — это секрет: его нельзя публиковать в открытом коде, выкладывать в репозиторий или показывать в браузере. Утёкший ключ — как потерянный пароль.
Важный момент безопасности: всегда используйте https (не http) — он шифрует трафик, иначе токен можно перехватить по дороге.