API 金鑰
所有 v1 端點都需要在x-api-key 標頭中附上 API 金鑰。
建立 API 金鑰
- 登入 AFKCrypto 控制台
- 前往 API Keys 區段
- 按下「Generate API Key」
- 為金鑰設定清楚的名稱
- 選用:設定到期時間(7 天、30 天、90 天、180 天或 1 年)
- 立即複製金鑰——之後不會再次顯示
金鑰格式
- Prefix:4 個字元的快速識別代碼
- Random:32 個字元、密碼學安全的隨機字串
使用 API 金鑰
在每個請求的x-api-key 標頭中附上金鑰:
安全最佳實務
- 切勿將金鑰提交到版本控制:使用環境變數
- 定期輪替金鑰:為臨時存取設定到期
- 依環境分離金鑰:開發、預備、正式
- 立即撤銷未使用的金鑰:降低攻擊面
- 安全儲存:使用機密管理工具(如 AWS Secrets Manager、HashiCorp Vault)
金鑰到期
API 金鑰可於指定期間後到期:- 永不過期(預設):直到被撤銷
- 7 天:短期測試/展示
- 30 天:外包或試用
- 90 天:建議季度輪替
- 180 天:半年輪替
- 1 年:年度輪替,適用穩定整合
- 使用該金鑰的請求將回傳 HTTP 401
UNAUTHORIZED - 控制台仍保留該金鑰供稽核
- 建立新金鑰加以替換
- 控制台標示「Expired」或「Expiring soon」(≤ 7 天)
- 設定提醒以避免服務中斷
金鑰限制
- 啟用中的金鑰上限:每位使用者 10 個
- 適用速率限制:參見 Rate limiting
- 撤銷未使用的金鑰以維持在上限內
撤銷 API 金鑰
可於控制台立即撤銷:- 開啟 API Keys
- 找到要撤銷的金鑰
- 按下「Revoke Key」
- 確認操作