← AI 百科

API Key

部署与运维 · 部署 / 安全 / API
一句话:调用第三方服务(如AI模型接口)时用来证明"你是谁、有没有权限用"的密钥,类似账号密码,泄露了别人能冒用你的额度。

它是什么

几乎所有付费API服务(OpenAI、各类云服务)都需要一个专属的API Key来调用,服务商靠这个Key识别是谁在调用、扣谁的费用。Key一旦泄露,别人可以用你的Key调用服务,产生的费用算在你头上。

适合干什么

  • 接入任何第三方API服务时的身份验证
  • 需要控制调用权限和额度的场景

不适合干什么

  • 完全不涉及调用外部付费服务的纯本地项目

普通人怎么用

拿到API Key后,不要直接写在前端代码或公开分享的截图里;正确做法是放在后端的环境变量中,前端通过你自己的后端接口间接调用,不要让Key直接暴露给用户浏览器。

进阶用户怎么用

给不同用途/环境申请独立的Key(开发用一个、生产用一个),方便出问题时单独作废而不影响其他环境;很多服务支持给Key设置额度上限和权限范围,按最小权限原则配置。

常见误区

  • 以为API Key放在前端代码里没关系,实际上前端代码用户可以直接在浏览器里看到,Key会完全暴露
  • 以为Key泄露了改一下代码就行,实际必须去服务商后台把旧Key作废、生成新Key,不然旧Key依然有效可以被盗用

和相似工具的区别

  • 和普通密码的区别:Key通常是给程序调用的,不是给人登录的,一旦硬编码进代码仓库或截图分享,比密码更容易被自动化工具扫描到并盗用

入门步骤

  • 从服务商后台申请API Key
  • 放进后端的环境变量,不要写进前端代码
  • 如果不小心泄露了,立刻去后台作废旧Key并生成新的