管理 API Key 导读
它们用于自动化和权限管理,不用于普通模型请求。
管理 API key 不是“更高级的普通 key”。 它的主要作用是:用来创建、更新、禁用、删除普通流量 key,并控制限额、重置节奏和治理策略。
边界先记住
管理 API key 只用于管理和自动化,不应该拿去发送普通 completion 流量。
什么时候你真的需要它
- 你在做 SaaS 自动开户或项目级 key 下发。
- 你想程序化轮换、禁用或重置 key。
- 你要按 customer / environment / project 做治理,而不是手工点 Dashboard。
- 你要控制 BYOK 是否计入 key 限额。
最小认知模型
普通流量 key
用途:
发模型请求
风险:
泄漏后会直接产生流量和费用
放置位置:
客户端、服务端、代理层典型 CRUD 形态
TypeScript
const MANAGEMENT_API_KEY = "<MANAGEMENT_KEY>";
const BASE_URL = "https://api.therouter.ai/v1/keys";
await fetch(BASE_URL, {
headers: { Authorization: "Bearer " + MANAGEMENT_API_KEY },
});
await fetch(BASE_URL, {
method: "POST",
headers: {
Authorization: "Bearer " + MANAGEMENT_API_KEY,
"Content-Type": "application/json",
},
body: JSON.stringify({
name: "Customer Instance Key",
limit: 1000,
}),
});最容易被误用的地方
text
1. 直接把 management key 发给客户端
2. 用 management key 去跑正常 completion 流量
3. 没有做 secret manager 存储,结果权限面暴露
4. 把 key 治理做进脚本,但没有审计和轮换策略适合的使用方式
管理 API Key 适合放在后台服务、自动化任务和密钥管理系统中,用来管理普通流量 key 的生命周期。