直接传 key 简直就是多此一举啊，随便监听一下网络就能把你的 key 盗走。  
最简单的方式是使用签名，各大开放平台都是这样做的，性能好，安全性不错。  
 
签名基本原理是通过 key/secret 的实现：  
1, 服务器负责为每个客户端生成一对 key/secret （ key/secret 没有任何关系，不能相互推算），保存，并告知客户端。  
2, 当客户端调用 api 时，根据某种规则将所有请求参数串联起来并用 secret 生成签名 sign 。  
3, 将 sign 和 key 一起放进请求参数对服务器进行调用。（注意 secret 不要传）  
4, 服务端收到请求，根据 key 去查 secret ，然后用同样的算法，验证签名。  
5, 为避免重放攻击，可加上 timestamp 参数，指明客户端调用的时间。服务端在验证请求时若 timestamp 超过允许误差则直接返回错误。  
 
以上，即使第三方知道了你的算法， key 等信息，由于无法捕获到 secret ，也无法推算，因此是安全的。最好是把 api 布署成 https 的。