Если это вводимый пользователем ключ и он вводит его руками при логине или в определенный момент разово и потом он используется везде - писать в сессию.
Если это ключ вашего приложения - обычно он не светится пользователю и соответственно ни в каком $_POST не должен содержаться, хранить либо в глобальной константе, либо в свойстве класса который работает с этим ключом.
