Hvordan en API-nøkkel ser ut, har igrunnen ikke så mye å si. Det kan være en hash enkodet i base64, eller en hvilken som helst tekststreng. Greia er at den må være unik slik at brukeren av APIet kan identifisere seg med det, og APIet vet hva denne brukeren skal ha tilgang til osv. På mange måter fungerer det som et passord, men istedenfor en vanlig innlogging, sendes API-nøkkelen ved forespørsler mot APIet.