认证指南
本文说明如何安全地管理 API Key,并在不同环境中完成鉴权。
鉴权方式
所有请求均通过 HTTP Header 传递密钥:
http
Authorization: Bearer YOUR_API_KEYWARNING
不要将真实密钥提交到 Git 仓库或硬编码在前端代码中。
环境变量配置
Windows PowerShell
powershell
$env:XK_API_KEY="YOUR_API_KEY"macOS / Linux
bash
export XK_API_KEY="YOUR_API_KEY"服务端调用示例
js
const apiKey = process.env.XK_API_KEY;
if (!apiKey) {
throw new Error("缺少 XK_API_KEY 环境变量");
}密钥轮换建议
- 按月轮换生产环境密钥。
- 为不同环境(开发、测试、生产)使用独立密钥。
- 出现泄漏风险时立即吊销并重新签发。
常见问题
401 Unauthorized
- 检查 Header 名是否为
Authorization - 检查是否包含
Bearer前缀 - 检查密钥是否已过期或已禁用