Skip to content

API Key 安全

MoonApiX API Key 用于访问你的账号额度和模型能力,请只在可信的服务端环境中使用。

使用建议

  • 不要把 API Key 写入前端源码、移动端安装包、公开仓库、截图或日志。
  • 文档示例统一使用 <MOONAPIX_API_KEY> 占位符。
  • 本地开发、测试环境和线上服务建议使用不同 API Key。
  • 如果 API Key 出现在聊天记录、截图、日志或公开仓库中,请尽快在 MoonApiX 后台轮换。

环境变量

推荐把 API Key 放在服务端环境变量中:

bash
MOONAPIX_API_KEY=<MOONAPIX_API_KEY>

Node.js 示例:

js
const apiKey = process.env.MOONAPIX_API_KEY

Python 示例:

python
import os

api_key = os.environ["MOONAPIX_API_KEY"]

请求示例

http
Authorization: Bearer <MOONAPIX_API_KEY>

不要把 API Key 放在 URL query 中:

text
https://moonapix.com/v1/models?api_key=...

前端应用

浏览器和移动端应用不应直接调用 MoonApiX API。推荐做法:

  1. 前端请求你的业务服务。
  2. 业务服务校验用户身份和权限。
  3. 业务服务使用 MoonApiX API Key 调用 MoonApiX。
  4. 业务服务把必要结果返回前端。

这样可以避免 API Key 被浏览器开发者工具、网络抓包或客户端反编译获取。

日志建议

  • 记录请求路径、状态码、task_id 和业务订单 ID。
  • 不记录 Authorization header。
  • 不记录完整请求体中的敏感用户信息。
  • 发生错误时记录 error.codeerror.message 即可。

轮换建议

  • 为本地开发、测试和线上服务使用不同 API Key。
  • 临时测试 Key 使用后及时删除。
  • 当成员离职、仓库公开、日志外发或密钥被复制到聊天工具时,立即轮换。
  • 轮换时先发布新 Key,再删除旧 Key,避免业务中断。