API 密钥
你调用外部服务时的"身份证"——谁拿着它,谁就能以你的名义使用(和消费)那个服务。
它到底指什么?
当你注册了一个云服务——比如一个 AI 接口或数据库服务——它通常会给你一串看起来像随机字符的东西,比如 sk-abc123xyz789...。这就是 API 密钥。
你的代码在调用这个服务时,需要带上这串密钥来证明"我是合法用户,这些调用请记在我的账户上"。
为什么它这么危险?
因为密钥就是身份的证明。任何人拿到你的密钥,都可以用它来调用服务——而产生的费用会记在你的账户上。
互联网上有大量的自动扫描程序,专门在 GitHub 等公开代码仓库里搜索长得像密钥的字符串。从密钥被意外推送到公开仓库,到被扫描程序发现,通常只需要几分钟。
怎么安全地使用它?
永远不要把密钥直接写在代码文件里。 把它放在环境变量中,代码通过变量名去读取。确保存放密钥的 .env 文件不会被上传到代码仓库。如果密钥已经泄露,立即在服务平台上吊销旧密钥并生成新的。
也叫
API KeySecret KeyToken密钥凭证
和谁相连
参见