一句话结论
API Key 用来识别身份和扣费,写进 .env,不要硬编码在代码里。
适用场景
- 第一次接入模型 API
- 看到 sk-xxx 这种字符串不确定是什么
- 想了解模型怎么扣钱
常见现象
- 看到 OPENAI_API_KEY 不知道往哪填
- 不清楚多个 Key 怎么管理
- 担心 Key 被人偷
原因解释
- API Key 是平台识别和扣费的字符串
- Key 一旦泄露,别人可以用你的额度
- 不同平台 Key 的格式不一样,1A1API、OpenAI、Claude 各自的命名也不一样
解决步骤
- 在平台后台生成 Key,命名带上用途
- 把 Key 写进 .env,例如 OPENAI_API_KEY=sk-xxx
- 代码里只通过 process.env 读取,不要硬编码
- 定期到后台看额度和调用日志,发现异常立刻作废
仍然不行怎么办
- 怀疑泄露,立刻在平台后台 revoke 旧 Key
- 或者使用支持 IP 白名单的中转站
小白先准备什么
- 选一个平台注册:OpenAI、1A1API 或其他中转站
- 准备一个 .env 文件(或记事本),用来存放 Key
- 确认自己的工具(OpenClaw / Claude Code / 代码项目)在哪里填 Key
- 了解 Key 的计费方式:按 token 还是按次
验收标准
- 能在平台后台成功生成一个 Key
- Key 已经写进 .env 文件,格式正确(无引号、无空格)
- 用 curl 或工具发一次请求,确认 Key 能用
- 知道 Key 泄露后怎么作废和重新生成
可复制提示词
用这段提示词让 AI 帮你检查 Key 配置是否正确:
我刚拿到一个 API Key,想确认配置是否正确。
我的工具:<OpenClaw / Claude Code / 自己的代码>
平台:<OpenAI / 1A1API / 其他>
Key 格式:sk-<前4位>...<后4位>(脱敏)
BASE_URL:<你填的地址>
请帮我:
1. 确认 Key 格式是否符合该平台规范
2. 给出一条 curl 测试命令(不暴露完整 Key)
3. 告诉我 .env 文件的正确写法
4. 提醒我有哪些安全注意事项
常见误区
- 误区:Key 写在代码里方便调试 → 必须写在 .env 里,代码通过环境变量读取
- 误区:一个 Key 到处用 → 应该按用途生成多个 Key,方便追踪和作废
- 误区:Key 不会过期 → 有些平台会定期轮换,要关注邮件通知
- 误区:别人看不到我的 Key → 推到 GitHub 公开仓库几秒钟就会被扫描盗用
还卡着?
可以把截图、日志、需求单或当前页面链接发到 zhemuy@gmail.com。