主题
创建 / 管理 API Key
API Key(也叫"令牌")是你调用本站 API 的身份凭证,形如 sk-xxxxxxxx...。所有 HTTP 请求都需要在 header 里带上它。
创建 Key
控制台 → 左侧菜单「令牌管理」→ 右上角「添加令牌」按钮 → 填表:
| 字段 | 第一次建一个 Key 怎么填 | 说明 |
|---|---|---|
| 名称 | 随便取,比如 my-first-key | 仅供你区分用途,调用时不传给上游 |
| 额度 | 留空 | 留空 = 跟账户余额联动;要单独给这个 Key 设预算上限再去看 典型场景 |
| 过期时间 | 默认(不过期) | 想到期自动失效再去看 典型场景 |
| 可访问模型 | 默认(全部) | 想限定某个 Key 只能调便宜模型,看 典型场景 |
| 渠道分组 | 默认 | 进阶字段,不知道是什么就不要动 |
点「提交」。
WARNING
创建后只会显示一次完整 Key。立即复制保存到密码管理器(推荐 Bitwarden / 1Password)或本地安全位置。关闭页面后不能再看完整值,只能看前几位。
一个账号可以建几个 Key?
没有数量上限,建议按用途拆分:
cherry-本地— 给 Cherry Studio 等桌面客户端cursor-工作机— 给 IDEwebhook-prod— 给生产环境程序test-temp— 给临时测试,用完删
好处:某个 key 泄露 / 误传到 GitHub,只需要禁用那一个,其他不受影响。
管理已有 Key
控制台「令牌管理」列表里每行 Key 的操作:
| 操作 | 用途 |
|---|---|
| 复制 | 复制完整 key(部分版本仅复制前缀,需重新创建查看) |
| 编辑 | 改名称 / 额度 / 过期时间 / 模型权限 |
| 禁用 | 临时停用,不删除(防误删) |
| 启用 | 把禁用的恢复 |
| 删除 | 永久删除,不可恢复 |
Key 安全实践
所有人都应该做
| ✅ 应该做 | ❌ 不要做 |
|---|---|
| Key 存密码管理器 / 1Password / Bitwarden | Key 直接 commit 到 git |
.env 文件加 .gitignore | Key 写在前端代码里(一上线全网可见) |
| 发现泄露立即「禁用」+ 重建 | 装作没看见 |
Key 给第三方 / 多人用 / 生产环境时再加
下面这些是「把 Key 借出去用 / 装到不可控环境」时才有意义的——自己一个人在自己电脑上用,不需要做:
| ✅ 应该做 | ❌ 不要做 |
|---|---|
| 按用途单独建 key(朋友一个、生产一个、测试一个) | 全部业务共用一个 key |
| 设过期时间(如 90 天) + 定期轮换 | 永不过期 + 永不轮换 |
| 设单令牌额度上限 | 不限额度(泄露后可被刷光) |
DANGER
绝对不要把 Key 放到任何前端代码里(小程序、网页、移动 App 里硬编码)——一旦上线,所有用户的 devtools 都能看到,几小时内余额就会被刷光。前端调 AI 请走自己的后端代理。
Key 泄露应急
发现 key 可能泄露(如不小心 push 到公开仓库、发到群里等):
- 立即控制台禁用该 key
- 创建新 key 替换业务里的引用
- 控制台「日志」查最近 24h 调用记录,确认无异常
- 如发现异常调用(不属于你的 IP、奇怪的模型 / 量),联系客服申诉