API 密钥是使用 API(应用程序接口)时用于识别请求来源和控制访问权限的字符串。由服务提供者发行,每次调用 API 时包含在请求头或参数中发送。追踪谁使用了多少 API,防止不正当使用和过度请求。
二维码生成 API 使用 API 密钥进行认证。从自有系统自动生成二维码时,将 API 密钥包含在请求中调用生成端点。密钥泄露时第三方可以冗用配额或生成恶意二维码,因此密钥管理至关重要。
安全管理的要点:不将 API 密钥硬编码在源代码中(使用环境变量或密钥管理服务)、不提交到 Git 仓库、定期轮换、按用途分离密钥(生产用和测试用分开)、设置 IP 白名单限制。