Skip to content

创建 / 管理 API Key

API Key(也叫"令牌")是你调用本站 API 的身份凭证,形如 sk-xxxxxxxx...。所有 HTTP 请求都需要在 header 里带上它。

创建 Key

控制台 → 左侧菜单「令牌管理」→ 右上角「添加令牌」按钮 → 填表:

字段第一次建一个 Key 怎么填说明
名称随便取,比如 my-first-key仅供你区分用途,调用时不传给上游
额度留空留空 = 跟账户余额联动;要单独给这个 Key 设预算上限再去看 典型场景
过期时间默认(不过期)想到期自动失效再去看 典型场景
可访问模型默认(全部)想限定某个 Key 只能调便宜模型,看 典型场景
渠道分组默认进阶字段,不知道是什么就不要动

点「提交」。

第一次建 Key 别纠结字段

绝大多数字段留默认就能用——名字随便取一个,其他全不动,点提交即可。这些字段都可以随时回来改,不需要重建 Key修改令牌设置)。

什么时候真的需要去配置它们:

  • 把 Key 交给朋友 / 装到 IoT 设备 / 给生产环境用 → 才需要设额度上限过期时间
  • 一个 Key 只想让它调便宜模型 → 才需要设可访问模型
  • 自己电脑 / 自己一个人用 → 全部留默认完全没问题

WARNING

创建后只会显示一次完整 Key。立即复制保存到密码管理器(推荐 Bitwarden / 1Password)或本地安全位置。关闭页面后不能再看完整值,只能看前几位

一个账号可以建几个 Key?

没有数量上限,建议按用途拆分

  • cherry-本地 — 给 Cherry Studio 等桌面客户端
  • cursor-工作机 — 给 IDE
  • webhook-prod — 给生产环境程序
  • test-temp — 给临时测试,用完删

好处:某个 key 泄露 / 误传到 GitHub,只需要禁用那一个,其他不受影响。

管理已有 Key

控制台「令牌管理」列表里每行 Key 的操作:

操作用途
复制复制完整 key(部分版本仅复制前缀,需重新创建查看)
编辑改名称 / 额度 / 过期时间 / 模型权限
禁用临时停用,不删除(防误删)
启用把禁用的恢复
删除永久删除,不可恢复

Key 安全实践

所有人都应该做

✅ 应该做❌ 不要做
Key 存密码管理器 / 1Password / BitwardenKey 直接 commit 到 git
.env 文件加 .gitignoreKey 写在前端代码里(一上线全网可见)
发现泄露立即「禁用」+ 重建装作没看见

Key 给第三方 / 多人用 / 生产环境时再加

下面这些是「把 Key 借出去用 / 装到不可控环境」时才有意义的——自己一个人在自己电脑上用,不需要做:

✅ 应该做❌ 不要做
按用途单独建 key(朋友一个、生产一个、测试一个)全部业务共用一个 key
设过期时间(如 90 天) + 定期轮换永不过期 + 永不轮换
设单令牌额度上限不限额度(泄露后可被刷光)

DANGER

绝对不要把 Key 放到任何前端代码里(小程序、网页、移动 App 里硬编码)——一旦上线,所有用户的 devtools 都能看到,几小时内余额就会被刷光。前端调 AI 请走自己的后端代理。

Key 泄露应急

发现 key 可能泄露(如不小心 push 到公开仓库、发到群里等):

  1. 立即控制台禁用该 key
  2. 创建新 key 替换业务里的引用
  3. 控制台「日志」查最近 24h 调用记录,确认无异常
  4. 如发现异常调用(不属于你的 IP、奇怪的模型 / 量),联系客服申诉

下一步