Key 泄露后只改代码可以吗?
不够。必须撤销旧 Key,因为历史提交、缓存或截图可能仍然暴露它。
不要放在这些地方
不要把 API Key 写进前端页面、移动端 App 包、公开仓库、博客截图、聊天记录或共享文档。任何能被他人复制的位置,都可能带来异常用量和账单风险。
推荐保存方式
个人本机使用密码管理器、系统钥匙串或用户级环境变量;团队和生产环境使用密钥管理服务、CI/CD Secret 或服务器环境变量。
为不同项目创建不同 Key,设置清晰名称,定期查看用量并删除不再使用的 Key。
发现泄露后的处理
立即撤销或删除泄露 Key,创建新 Key 并更新部署环境。随后检查近期用量、账单和日志,确认是否存在异常调用。
如果泄露发生在 Git 仓库,除了删除文件,还要清理历史记录并轮换所有受影响环境。