API 密钥
所有 v1 接口都需要在x-api-key 请求头中携带 API 密钥。
创建 API 密钥
- 登录 AFKCrypto 控制台
- 打开 API Keys 页面
- 点击 “Generate API Key”
- 为密钥设置易于辨识的名称
- 可选:设置过期时间(7 天、30 天、90 天、180 天或 1 年)
- 立即复制密钥——之后将不再显示
密钥格式
- Prefix:4 个字符的快速标识符
- Random:32 个字符的密码学安全随机字符串
使用 API 密钥
在每次请求中通过x-api-key 请求头附带密钥:
安全最佳实践
- 切勿将密钥提交到版本控制:使用环境变量
- 定期轮换密钥:为临时访问设置过期时间
- 按环境分离密钥:开发、预发、生产
- 立即撤销未使用的密钥:降低攻击面
- 安全存储:使用机密管理器(如 AWS Secrets Manager、HashiCorp Vault)
密钥过期
API 密钥可在指定期限后过期:- 永不过期(默认):直到被撤销
- 7 天:短期测试/演示
- 30 天:外包/试用
- 90 天:建议按季度轮换
- 180 天:半年轮换
- 1 年:年度轮换,适用于稳定集成
- 使用该密钥的请求将返回 HTTP 401
UNAUTHORIZED - 控制台中仍保留该密钥以便审计
- 需要时创建新密钥替换
- 控制台标记 “Expired” 或 “Expiring soon”(≤ 7 天)
- 设置告警以避免服务中断
密钥限制
- 最大活跃密钥数:每位用户 10 个
- 适用请求速率限制:参见 Rate limiting
- 撤销未使用的密钥以保持在限制内
撤销 API 密钥
可在控制台中立即撤销:- 打开 API Keys
- 找到要撤销的密钥
- 点击 “Revoke Key”
- 确认操作