Appearance
API Key 安全
MoonApiX API Key 用于访问你的账号额度和模型能力,请只在可信的服务端环境中使用。
使用建议
- 不要把 API Key 写入前端源码、移动端安装包、公开仓库、截图或日志。
- 文档示例统一使用
<MOONAPIX_API_KEY>占位符。 - 本地开发、测试环境和线上服务建议使用不同 API Key。
- 如果 API Key 出现在聊天记录、截图、日志或公开仓库中,请尽快在 MoonApiX 后台轮换。
环境变量
推荐把 API Key 放在服务端环境变量中:
bash
MOONAPIX_API_KEY=<MOONAPIX_API_KEY>Node.js 示例:
js
const apiKey = process.env.MOONAPIX_API_KEYPython 示例:
python
import os
api_key = os.environ["MOONAPIX_API_KEY"]请求示例
http
Authorization: Bearer <MOONAPIX_API_KEY>不要把 API Key 放在 URL query 中:
text
https://moonapix.com/v1/models?api_key=...前端应用
浏览器和移动端应用不应直接调用 MoonApiX API。推荐做法:
- 前端请求你的业务服务。
- 业务服务校验用户身份和权限。
- 业务服务使用 MoonApiX API Key 调用 MoonApiX。
- 业务服务把必要结果返回前端。
这样可以避免 API Key 被浏览器开发者工具、网络抓包或客户端反编译获取。
日志建议
- 记录请求路径、状态码、
task_id和业务订单 ID。 - 不记录
Authorizationheader。 - 不记录完整请求体中的敏感用户信息。
- 发生错误时记录
error.code和error.message即可。
轮换建议
- 为本地开发、测试和线上服务使用不同 API Key。
- 临时测试 Key 使用后及时删除。
- 当成员离职、仓库公开、日志外发或密钥被复制到聊天工具时,立即轮换。
- 轮换时先发布新 Key,再删除旧 Key,避免业务中断。