文件快速開始基礎知識
API Key 是什麼
理解 API Key 的作用、格式、安全邊界,以及它和文字計費單位之間的差異
API Key 是你呼叫 MoleAPI 時使用的身分憑證,在 MoleAPI 控制台中也常被稱為 令牌。
當你使用 SDK、用戶端應用程式或自行撰寫 HTTP 請求接入 MoleAPI 時,系統會透過這串 Key 判斷:
- 你是誰
- 你是否有權限呼叫介面
- 你能存取哪些模型
- 你的呼叫應該記到哪個帳戶和哪個 Key 上
一個最簡單的理解方式
你可以把 API Key 理解成:
- 對外:它像是「介面密碼」
- 對內:它又像是「存取憑證 + 計費歸屬標籤 + 權限開關」
也就是說,它不只是一個能不能呼叫介面的字串,還會影響:
- 呼叫日誌歸屬
- 可用模型範圍
- 分組策略
- 安全限制
- 額度控制
典型格式
MoleAPI 的 API Key 通常長這樣:
sk-********************************很多第三方應用程式中會把它放在:
API Key金鑰令牌Bearer Token(部分用戶端或介面中的相容寫法)
這些輸入框中。
API Key 和文字計費單位不是一回事
這是新手最常見的混淆點。
容易混淆的兩個概念
- API Key / 令牌:身分憑證,用於呼叫介面。
- 文字計費單位(Token):模型處理文字時的計費單位,用於計算費用。
也就是說:
- 你建立的是 API Key
- 你花掉的是 文字計費消耗 / 請求費用
這兩個概念完全不同。
一個帳號為什麼要建立多個 API Key
理論上你可以只用一個 Key,但實際上並不建議。
更推薦的做法是依用途拆分,例如:
dev-local:本機除錯chatbox-test:桌面用戶端測試web-prod:正式網站後端ops-batch:排程任務或批次處理
這樣做的好處是:
- 日誌更清楚:能快速看出是哪一套系統在呼叫
- 權限更好控管:不同 Key 可以配置不同模型和限制
- 風險更低:某個 Key 洩露時,不至於影響所有業務
- 成本更好拆分:更容易判斷誰花了多少錢
API Key 通常放在哪裡
在實際使用中,API Key 常見的存放位置包括:
- 本機用戶端應用程式的設定頁
- 伺服器環境變數
- 後端設定檔(非公開)
- 金鑰管理系統
如果你是開發者,最常見寫法通常類似:
export OPENAI_API_KEY="sk-..."或者在程式中作為 Bearer 身分驗證標頭送出。
什麼時候應該重新建立或更換 API Key
出現以下這些情況時,建議你建立一個新的 Key,而不是繼續重複使用舊 Key:
- 準備把測試環境和正式環境分開
- 要為不同專案分配獨立呼叫權限
- 需要限制新的模型範圍
- 懷疑舊 Key 已經洩露
- 想做更明確的日誌稽核和成本拆分
安全建議
API Key 一旦洩露,等同於介面權限洩露
請不要把 API Key 暴露在公開環境中,否則別人可能直接拿它呼叫你的額度。
至少要避免以下這些做法:
- 不要寫進前端原始碼
- 不要提交到 Git 儲存庫
- 不要發到聊天群組、工單截圖或公開文件中
- 不要把正式環境 Key 長期散落在多個個人裝置上
推薦做法:
- 測試和正式環境分開使用不同 Key
- 為關鍵 Key 設定模型限制或 IP 白名單
- 定期輪換長期使用的 Key
- 發現異常呼叫時立即停用或刪除舊 Key
下一步看什麼
如果你已經理解 API Key 的作用,下一步建議直接看:
這篇文件對您有幫助嗎?
最後更新於