概述
API 密钥用于验证您的应用程序向 ModelRiver 发出的请求。每个密钥仅生成一次,完整显示,然后作为 SHA-256 哈希存储。这意味着在创建后 ModelRiver 无法检索您的密钥:请妥善安全地保管。
创建 API 密钥
- 导航到您项目中的 Settings → API Keys
- 点击 Create API Key
- 选择一个过期期限(见下文)
- 立即复制密钥:它将不会再次显示
- 将密钥存储在您的秘密管理器或环境变量中
密钥过期
每个 API 密钥都有可配置的过期时间。在创建密钥时选择符合您用例的时长:
| 时长 | 推荐用于 |
|---|---|
| 1 day | 测试和临时访问 |
| 7 days | 短期项目和快速集成 |
| 30 days | 大多数用例:平衡安全性和便利性 |
| 60 days | 需要定期轮换的长期集成 |
| 90 days | 延长的开发周期 |
| Never | 持久集成:按计划手动轮换 |
过期的密钥将自动失效。使用过期密钥发出的请求将返回 401 Unauthorized。您始终可以创建一个新密钥并在旧密钥过期前撤销它,以实现零停机时间轮换。
密钥前缀
所有 API 密钥都使用 mr_live_ 前缀。这使得它们在环境变量和秘密管理器中易于识别。
撤销密钥
从控制台撤销已泄露的密钥:失效是立即生效的。任何使用已撤销密钥的进行中请求都将失败,并返回 401 Unauthorized 响应。
- 导航到 Settings → API Keys
- 找到要撤销的密钥
- 点击 Revoke 并确认
最佳实践
- 每个集成一个密钥:为每个环境、服务或团队成员创建单独的密钥,以实现细粒度的撤销。
- 使用环境变量:永远不要在源代码中硬编码 API 密钥。在您的环境中使用
MODELRIVER_API_KEY。 - 定期轮换:创建一个新密钥,更新您的应用程序,然后撤销旧密钥。实现零停机时间轮换。
- 监控使用情况:检查请求日志(Request Logs)以验证正在使用哪个密钥并检测异常。
- 为开发环境选择较短的过期时间:为开发环境使用 1天 或 7天 的密钥,如果被遗忘的话它们会自动过期。
后续步骤
- Provider credentials:保护您的 AI 供应商 token
- Data retention:了解数据存储策略
- API authentication:技术集成细节