MoleAPIMoleAPI
DokumentationSchnellstartGrundlagen

Was ist ein API Key

Verstehen Sie die Funktion eines API Key, sein Format, seine Sicherheitsgrenzen sowie den Unterschied zu Text-Abrechnungseinheiten

Ein API Key ist der Identitätsnachweis, den Sie beim Aufrufen von MoleAPI verwenden. In der MoleAPI-Konsole wird er häufig auch als Token bezeichnet.

Wenn Sie über ein SDK, eine Client-Anwendung oder eigene HTTP-Requests auf MoleAPI zugreifen, verwendet das System diesen Key, um festzustellen:

  • wer Sie sind
  • ob Sie berechtigt sind, die API aufzurufen
  • auf welche Modelle Sie zugreifen können
  • welchem Konto und welchem Key Ihre Aufrufe zugeordnet werden sollen

Eine besonders einfache Erklärung

Sie können einen API Key so verstehen:

  • nach außen: wie ein „API-Passwort“
  • nach innen: wie „Zugangsnachweis + Abrechnungszuordnung + Berechtigungsschalter“

Das heißt: Er ist nicht nur eine Zeichenfolge, mit der API-Aufrufe erlaubt oder verweigert werden, sondern beeinflusst auch:

  • die Zuordnung von Aufrufprotokollen
  • den verfügbaren Modellumfang
  • Gruppenrichtlinien
  • Sicherheitsbeschränkungen
  • die Quota-Steuerung

Typisches Format

Ein API Key von MoleAPI sieht in der Regel so aus:

sk-********************************

In vielen Drittanbieter-Anwendungen wird er in Feldern wie diesen eingetragen:

  • API Key
  • 密钥
  • 令牌
  • Bearer Token(eine kompatible Bezeichnung in einigen Clients oder Oberflächen)

API Key und Text-Abrechnungseinheit sind nicht dasselbe

Das ist der häufigste Verwechslungspunkt für Einsteiger.

Zwei leicht zu verwechselnde Konzepte

  • API Key / Token: Ein Identitätsnachweis zum Aufrufen der API.
  • Text-Abrechnungseinheit (Token): Die Abrechnungseinheit, die ein Modell bei der Textverarbeitung verwendet, um Kosten zu berechnen.

Das bedeutet:

  • Sie erstellen einen API Key
  • Sie verbrauchen Text-Tokens / Request-Kosten

Diese beiden Konzepte sind vollständig unterschiedlich.

Warum sollte ein Konto mehrere API Keys erstellen

Theoretisch können Sie nur einen einzigen Key verwenden, in der Praxis ist das jedoch nicht empfehlenswert.

Besser ist es, Keys nach Verwendungszweck aufzuteilen, zum Beispiel:

  • dev-local: lokales Debugging
  • chatbox-test: Tests mit dem Desktop-Client
  • web-prod: Backend der Produktionswebsite
  • ops-batch: geplante Aufgaben oder Batch-Verarbeitung

Die Vorteile davon:

  1. Klarere Logs: Sie erkennen schnell, welches System die Aufrufe ausführt
  2. Bessere Zugriffskontrolle: Unterschiedliche Keys können mit unterschiedlichen Modellen und Beschränkungen konfiguriert werden
  3. Geringeres Risiko: Wenn ein Key kompromittiert wird, ist nicht gleich das gesamte Geschäft betroffen
  4. Bessere Kostentrennung: Es ist leichter nachzuvollziehen, wer wie viel ausgegeben hat

Wo wird ein API Key normalerweise gespeichert

In der Praxis wird ein API Key häufig an folgenden Orten gespeichert:

  • auf der Konfigurationsseite lokaler Client-Anwendungen
  • in Umgebungsvariablen auf dem Server
  • in Backend-Konfigurationsdateien (nicht öffentlich)
  • in Secret-Management-Systemen

Wenn Sie Entwickler sind, sieht eine typische Schreibweise oft so aus:

export OPENAI_API_KEY="sk-..."

Oder er wird im Programm als Bearer-Authentifizierungsheader gesendet.

Wann sollten Sie einen API Key neu erstellen oder ersetzen

In den folgenden Fällen sollten Sie einen neuen Key erstellen, statt einen alten weiterzuverwenden:

  • wenn Test- und Produktionsumgebung getrennt werden sollen
  • wenn verschiedenen Projekten eigene Aufrufberechtigungen zugewiesen werden sollen
  • wenn der verfügbare Modellumfang eingeschränkt werden muss
  • wenn der Verdacht besteht, dass der alte Key offengelegt wurde
  • wenn Sie eine klarere Auditierung der Logs und Kostentrennung benötigen

Sicherheitsempfehlungen

Wenn ein API Key offengelegt wird, entspricht das einer Offenlegung Ihrer API-Berechtigungen

Setzen Sie Ihren API Key nicht in öffentlichen Umgebungen ein, da andere sonst direkt Ihr Quota verbrauchen können.

Vermeiden Sie mindestens die folgenden Vorgehensweisen:

  • nicht in Frontend-Quellcode schreiben
  • nicht in ein Git-Repository committen
  • nicht in Chat-Gruppen, Ticket-Screenshots oder öffentlichen Dokumenten teilen
  • produktive Keys nicht dauerhaft auf mehreren persönlichen Geräten verteilen

Empfohlene Vorgehensweisen:

  • für Test und Produktion unterschiedliche Keys verwenden
  • für wichtige Keys Modellbeschränkungen oder eine IP-Whitelist konfigurieren
  • langfristig genutzte Keys regelmäßig rotieren
  • bei auffälligen Aufrufen alte Keys sofort deaktivieren oder löschen

Was als Nächstes lesen

Wenn Sie die Funktion eines API Key bereits verstanden haben, empfehlen wir als Nächstes direkt:

War diese Anleitung hilfreich?

Zuletzt aktualisiert am

Grundlagen

API Key, Base URL, Gruppen und Abrechnung – die zentralen Konzepte, die Sie vor der Anbindung an MoleAPI kennen sollten

API Key erstellen (Token)

Erstelle deinen ersten API Key entsprechend der tatsächlichen Oberfläche der MoleAPI-Konsole

Auf dieser Seite

Eine besonders einfache Erklärung
Typisches Format
API Key und Text-Abrechnungseinheit sind nicht dasselbe
Warum sollte ein Konto mehrere API Keys erstellen
Wo wird ein API Key normalerweise gespeichert
Wann sollten Sie einen API Key neu erstellen oder ersetzen
Sicherheitsempfehlungen
Was als Nächstes lesen
Zur StartseiteGateway