API Key
一句话:调用第三方服务(如AI模型接口)时用来证明"你是谁、有没有权限用"的密钥,类似账号密码,泄露了别人能冒用你的额度。
它是什么
几乎所有付费API服务(OpenAI、各类云服务)都需要一个专属的API Key来调用,服务商靠这个Key识别是谁在调用、扣谁的费用。Key一旦泄露,别人可以用你的Key调用服务,产生的费用算在你头上。
适合干什么
- 接入任何第三方API服务时的身份验证
- 需要控制调用权限和额度的场景
不适合干什么
- 完全不涉及调用外部付费服务的纯本地项目
普通人怎么用
拿到API Key后,不要直接写在前端代码或公开分享的截图里;正确做法是放在后端的环境变量中,前端通过你自己的后端接口间接调用,不要让Key直接暴露给用户浏览器。
进阶用户怎么用
给不同用途/环境申请独立的Key(开发用一个、生产用一个),方便出问题时单独作废而不影响其他环境;很多服务支持给Key设置额度上限和权限范围,按最小权限原则配置。
常见误区
- 以为API Key放在前端代码里没关系,实际上前端代码用户可以直接在浏览器里看到,Key会完全暴露
- 以为Key泄露了改一下代码就行,实际必须去服务商后台把旧Key作废、生成新Key,不然旧Key依然有效可以被盗用
和相似工具的区别
- 和普通密码的区别:Key通常是给程序调用的,不是给人登录的,一旦硬编码进代码仓库或截图分享,比密码更容易被自动化工具扫描到并盗用
入门步骤
- 从服务商后台申请API Key
- 放进后端的环境变量,不要写进前端代码
- 如果不小心泄露了,立刻去后台作废旧Key并生成新的