API Key管理与安全

入门·10 分钟·通过可运行代码讲解「API Key管理与安全」,覆盖环境准备、核心代码、参数说明、异常处理、工程化改造和练习任务,适合 AI 编程入门。

API Key管理与安全

API Key 是调用 AI 服务的凭证,泄露后别人可能用你的额度、访问你的服务,甚至造成数据和财务损失。AI 编程必须从一开始就养成密钥安全习惯。

不要这样写

api_key = 'sk-xxxxx'

把密钥写进代码非常危险。代码可能被提交到 Git、发给别人、贴到截图里,密钥就泄露了。

使用.env文件

创建 .env

AI_API_KEY=你的密钥

读取:

import os
from dotenv import load_dotenv
 
load_dotenv()
api_key = os.getenv('AI_API_KEY')
if not api_key:
    raise RuntimeError('AI_API_KEY 未配置')

.env 只放在本地或服务器环境中,不提交到代码仓库。

配置.gitignore

.env
*.key
secrets.json

提交前用 git status 检查,确认密钥文件没有进入暂存区。

服务器环境变量

生产环境更推荐使用平台提供的环境变量管理,例如 Docker、PM2、云函数、Kubernetes Secret、CI/CD Secret。程序仍然用 os.getenv() 读取,这样本地和线上逻辑一致。

日志不要打印密钥

masked = api_key[:6] + '...' + api_key[-4:]
print(masked)

即使调试,也不要完整打印密钥。

密钥泄露后怎么办

立即撤销旧 Key,创建新 Key,检查账单和调用日志,搜索代码仓库历史。如果密钥进过 Git 历史,要视为已经泄露。

小结

API Key 安全不是上线后才考虑。密钥不进代码、不进 Git、不进日志;不同项目分开 Key;泄露后立即轮换。