2025年10月02日·1 分钟
用于 API 密钥的环境变量:一个简单的机密管理模型
面向非技术构建者的 API 密钥环境变量指南:把密钥从提示和仓库中移出,按 dev/staging/prod 映射变量,安全地旋转与管理机密。
面向非技术构建者的 API 密钥环境变量指南:把密钥从提示和仓库中移出,按 dev/staging/prod 映射变量,安全地旋转与管理机密。
API 密钥就像你的应用与外部服务(支付、邮件、地图、AI、分析等)对话时使用的密码。它在请求中表明“这是来自我的账户”,因此该服务可以计费、施加限制并授权访问。
密钥会泄露,通常是因为最初是被快速复制粘贴出来的。你把它粘到聊天、配置文件或备忘里“暂时用一下”,然后它被不小心保存到了不该共享的地方。
常见的意外泄露路径包括把密钥放进聊天提示(尤其是在使用快速构建工具进行试验时)、把密钥提交到仓库或上传为待审查的压缩包、把密钥放进截图或屏幕录制、留在共享文档或团队聊天里,或者把密钥硬编码到任何浏览器可读的前端代码中。
风险不是抽象的。最直接的痛苦是意外账单:有人使用你的密钥调用 API 成千上万次。下一步是数据访问:如果密钥可以读取客户数据或发送邮件,攻击者也能这么做。在最坏的情况下,具有广泛权限的密钥可能导致账号被接管(例如,如果它能创建新密钥)。
你不需要成为安全专家就能获得大部分好处。养成一个小习惯就能带来显著改善:把密钥当作“机密”,不要放到提示或仓库里。这正是环境变量的用途:把机密存放在受保护的位置,应用在运行时读取,而不是把它写进代码或截图里。
如果只记住一条规则,那就是:代码是你的应用做什么,配置是它如何运行,机密是绝不能泄露的东西。
代码 是你构建并发布的逻辑(界面、按钮、计算、API 调用)。它应该可以安全地与团队共享,通常会放在仓库里。
配置 是可公开而不会造成伤害的设置。想想你的应用名称、运行区域、功能开关或服务的基础 URL。如果别人看到了它们,不应该能花你的钱、访问私有数据或冒充你。
机密 是王国之钥:API 密钥、数据库密码、私有令牌、签名密钥。如果陌生人拿到这些,他们就能以你的应用身份行事。
环境变量只是应用在运行时读取的带标签的槽位。你的代码寻找一个标签(比如 STRIPE_SECRET_KEY),并使用当前存储在那里的值。这种分离正是环境变量对 API 密钥非常有效的原因:代码保持不变,而机密值留在提示、文件和仓库之外。
把代码和机密放在不同的位置还能让修复更容易。如果你不小心泄露了某个机密,你可以更换值而不改动代码。
一个实用的做法是把环境想象成:相同的标签,不同的值。
举例:你可以到处都用标签 PAYMENTS_KEY,但 dev 用测试密钥,staging 用受限密钥,prod 用完整的线上密钥。如果你用像 Koder.ai 这样的部署平台,这种映射非常清晰,因为你可以用相同的应用代码部署到不同环境并配置不同的环境变量。
凡是能让某人获得不该有的权限的值,都是机密。如果陌生人得到它们,他们就能登录、消费你的钱、读取私有数据或冒充你的应用。
常见的机密包括 API 密钥、数据库密码、私有访问令牌、签名密钥和 webhook 密钥。如果它能创建、删除、收费、读取私有数据或签名请求,就把它当作机密。
有些看起来无害的值其实也很敏感。写权限令牌(write tokens)就是经典陷阱:它们看起来不像“密码”,但能让攻击者推送更改、上传文件、发送邮件或写入数据库。管理员密钥、服务账号的 JSON 文件以及任何看起来像长随机字符串的令牌也一样要当心。
并非所有东西都需要当作机密处理。通常这些不是机密:功能开关(只改变界面或行为,不影响访问)、公共 URL、界面文本、分析测量 ID,以及不能单凭其访问到数据的内部 ID。如果某个值本来就会显示在前端或文档里,它可能就不是机密。
一个快速判断方法:如果看到它被粘贴到公共聊天或提交到公共仓库你会生气,那么它就是机密。
把应用使用的机密列成一份简短的清单。对每一项说明它的用途(支付、邮件、数据库、存储)、它应该在哪个环境存在(dev、staging、prod)、谁是负责人(你、队友或第三方账号),以及它是只读还是可写。以后旋转密钥时,这份清单会成为你的地图,免得盲猜。
大多数泄露不是因为“黑客入侵”。而是日常场景:有人复制一个值以解决问题,然后忘了它仍然可见。一个好规则是:如果它能被搜索、同步、转发或屏幕共享,就当它是公开的。
聊天是一个大坑。人们把完整的 API 密钥粘到提示、团队聊天或支持消息里,因为这样看起来最快。但聊天记录会被保存和分享。如果你需要求助,只粘最后 4–6 个字符和变量名,例如 STRIPE_SECRET_KEY ...9f2a。
Git 是经典陷阱。你在某个文件里临时加了密钥并提交了,后来删除了,但密钥仍在提交历史中。它也可能通过 fork、复制的片段或 PR 差异传播开来。
截图和屏幕录制比人们想象的更容易泄露信息。演示视频可能会截到设置页面、终端命令或显示令牌的错误信息。即便模糊处理也可能有风险。
问题追踪与笔记应用是另一个安静的来源。工单、清单和共享文档会在团队和供应商之间复制。把它们当作公共日志来对待。
一些习惯可以防止大多数泄露:
如果你在 Koder.ai 中构建,保持同样的心态:把敏感值放在环境设置中,而不是放在定义应用的聊天中。
目标简单:你的应用应从环境读取机密,而不是从提示、源码或会被提交到 Git 的文件中读取。
.env 文件(并把它排除在 Git 之外).env 文件是你机器上的纯文本文件,用来存储键值对。它能让本地配置更方便,但也容易泄露,所以把它当作钱包来保护。
在本地创建 .env 文件,并确保它被 Git 忽略(通常通过 .gitignore)。如果需要把变量名分享给队友,分享一个示例文件例如 .env.example,只包含占位符,绝不包含真实值。
选用清晰的名字以避免误用:
OPENAI_API_KEYSTRIPE_SECRET_KEYDATABASE_URLSENDGRID_API_KEYS3_ACCESS_KEY_ID好名字能减少后来在设置 dev、staging 和 prod 时的错误。
当应用启动时,它会询问操作系统:“你有 OPENAI_API_KEY 的值吗?”如果存在,应用就使用它;如果缺失,应用应该尽早失败并给出清晰的错误,而不是带着错误行为继续运行。
一个实用习惯:记录变量是否存在(有/无),但绝不要打印出机密本身。
不要把密钥粘到聊天线程或工单里。使用密码管理器(共享保险库)或其他安全通道,只分享必要的权限。如果有人离职,旋转相应密钥。
示例:创始人在本地导出一个 Koder.ai 项目并运行。她把 .env 放在自己的笔记本上,只提交 .env.example,并通过共享密码管理器把真实密钥分发给队友。
把环境想象成三个互相独立的房间。
Dev 是你的笔记本或个人沙盒,你在这里快速改动。Staging 是生产的安全副本,用来在不影响真实客户的情况下测试完整应用。Prod 则是客户真正使用的环境。
简单规则:各环境使用完全相同的变量名,只改变值。你的代码在每个环境都读取 STRIPE_SECRET_KEY,但每个环境会提供不同的密钥。
做一个小小的映射表(哪怕只是笔记)会很有帮助:
| 变量名(各环境相同) | Dev 值 | Staging 值 | Prod 值 |
|---|---|---|---|
PAYMENTS_API_KEY | 测试密钥 | 暂存密钥 | 线上密钥 |
APP_BASE_URL | 本地 URL | 暂存域名 | 自定义域名 |
DATABASE_URL | 本地数据库 | 暂存数据库 | 生产数据库 |
生产环境绝不可复用开发密钥。开发密钥常被团队共享,权限也可能较宽。
若想在小团队中把环境值管理好,达成几条共识会有帮助:
STRIPE_KEY 与 STRIPE_API_KEY 两套命名)。如果你使用像 Koder.ai 这样的托管构建器,把每个部署目标(dev、staging、prod)当作独立环境对待,它们各自有不同的机密值,而代码保持一致。
旋转机密就是在你计划的时间内主动更换 API 密钥。做对了,旋转是无感的:你替换密钥、验证一切正常,然后禁用旧密钥。
最安全的思路是“短时间内同时保留两把密钥”。许多服务允许同时存在多个有效密钥,这种重叠能保证在你切换配置时应用继续运行。
一个简单的旋转窗口如下:
如果服务不支持同时存在多把密钥,就选择低流量时段进行切换并预期会有短暂中断。目标不变:在不改动代码的前提下,在一个地方更换机密。
如果你认为某个密钥已泄露,先采取行动再调查。立刻撤销或禁用该密钥(或使其无效),然后发放新密钥并更新环境变量。系统稳定后,再查找泄露源:聊天提示、构建日志、截图、旧提交或共享文档。
示例:你在 Koder.ai 上构建了一个小型 CRM,使用邮件 API。你生成新邮件密钥,把它设置到应用的环境设置中,发送测试邮件,然后撤销旧密钥。
CI/CD 是在你推送更改时自动构建并部署应用的流水线,它通常也需要一些机密。
主要规则是:不要把 API 密钥走私进构建日志、源码或聊天提示。把流水线当作另一台需要被控制地接收机密的计算机。
尽量把构建时需要的机密与运行时需要的机密分开。
构建时机密只在构建步骤中需要(例如下载私有包)。运行时机密在部署后需要(例如调用 Stripe 或发送邮件)。如果能把密钥仅用于运行时,就能降低被打包进产出物、缓存在构建产物或被打印到构建输出中的风险。
一个快速自查:如果密钥会在用户浏览器中被使用,那它就不是机密。可在浏览器中可见的“公钥”可以接受,但服务端的 API 密钥必须保存在服务器上。
使用你托管平台提供的基于环境的机密存储,这样 dev、staging、prod 可以有不同的值。
如果你用 Koder.ai 托管,把密钥作为每个环境的环境变量设置,而不是把密钥粘到代码或配置文件里。然后你的应用在运行时按需读取(例如生产环境的 PAYMENTS_API_KEY 与暂存环境的测试密钥不同)。
为保障生产安全,限制谁能查看或更改生产机密。把“查看机密”的人控制在小范围内,并在工具允许时把部署权限和编辑机密权限分开。还要为不同环境使用不同密钥,确保暂存环境无法访问生产数据。
大多数泄露来自日常的快捷方式,这些快捷方式会被保留并沿用到下一个项目中。
.env 提交了)如果密钥出现在源码文件里,它可能出现在备份、截图、共享压缩包和 Git 历史中。
修复:
.env 加入忽略文件。把真实密钥粘到聊天里会失去对它的控制,因为那段文本可能被存储或分享。如果在像 Koder.ai 这样的工具里工作,尽量用占位符 PAYMENTS_API_KEY=REDACTED 并描述症状。
好习惯是:复制错误信息,而不是复制凭证。
一把密钥跨 dev、staging、prod 使用意味着一次泄露会扩大影响。如果多人共享同一把密钥,你也无法追踪是谁在使用它。
修复:为不同环境创建独立密钥,如果提供方支持,为不同人员或不同应用创建独立密钥。
常见陷阱是启动时打印“全部配置”。这通常包含令牌。
修复:只记录必要的信息(例如“Stripe 密钥已加载:是/否”),并在必须辨认密钥时掩码显示(只显示后 4 个字符)。
示例:如果暂存环境失败,不要打印完整密钥。打印 STRIPE_KEY ending in 9K2P,这样既能确认你部署了正确的密钥,又不会泄露它。
在发布前做一次冷静的机密检查:
api_key、secret、token 和供应商名称等模式。也检查共享文档、截图和粘贴的聊天记录。如果密钥曾出现在 git 或文档中,假定它已泄露并更换。示例:如果你的应用使用支付 API 和邮件 API,你应该为 dev、staging、prod 各自准备两套密钥,并为每个密钥指定负责人。当你部署时(无论是通过托管设置还是像 Koder.ai 这样的部署平台),确保把合适的环境变量映射到对应环境,而不是把它们复制到提示、代码或仓库中。
Maya 是一位非技术创始人,正在构建一个简单的 Web 应用:用户可以订阅并支付,应用会发送收据和密码重置邮件。她通过把机密作为运行时设置放在代码之外、用环境变量注入来保持提示和仓库的整洁。
她定义的一组简洁环境变量(名字在各环境保持一致,只改变值):
APP_ENV = development / staging / productionAPP_BASE_URL = http://localhost:3000 / https://staging.example.com / https://example.comPAYMENTS_PROVIDER_SECRET_KEY = 测试密钥(dev)/ 测试密钥(staging)/ 线上密钥(prod)EMAIL_PROVIDER_API_KEY = 沙盒密钥(dev)/ 受限密钥(staging)/ 完整密钥(prod)DATABASE_URL = 本地 DB(dev)/ 暂存 DB(staging)/ 生产 DB(prod)一个简单规则:dev 和 staging 应使用测试模式与隔离数据。生产使用真实密钥与真实数据。这样即便暂存出现错误,也不会扣真实卡或给真实客户发邮件。
一个实际的旋转事件:某位承包方离职后,Maya 认为旧密钥可能被泄露。她在支付和邮件控制台生成新密钥,更新各环境的值。她先在生产的安静时间窗口旋转,验证注册、支付和邮件功能正常,再按顺序旋转 staging 和 dev。如果出现问题,她能快速回滚到上一个已知良好的配置。
接下来防止混乱的步骤:
写一页纸的“环境变量清单”(名字、用途、在哪儿设置、谁有访问权)。每月安排一次 10 分钟的小检查,移除不用的密钥并旋转高风险密钥。
如果你已经在使用 Koder.ai(koder.ai),把这些东西都组织好会很有帮助:你可以在一个地方管理部署和环境设置。快照与回滚在配置变更导致故障时也很有用,能快速恢复而不会重新引入已泄露的密钥。
API 密钥可能会快速产生意外费用,有时还会授予访问私有数据或执行操作(例如发送邮件)的权限。把它当作密码:别人拿到它,通常就能冒充你的应用。
把机密放在环境变量里能让真实值不出现在代码、提示或截图中。应用在运行时按名字读取值(例如 STRIPE_SECRET_KEY),而代码本身可以安全地与他人共享。
任何能让陌生人花钱、访问私有数据或冒充你应用的值都是机密。API 密钥、数据库密码、私有令牌、签名密钥和 webhook 密钥都是机密;公开 ID 和仅影响 UI 的设置通常不是。
最常见的泄露途径是聊天提示、团队聊天、问题单、截图和 Git 提交(包括提交历史)。一个好习惯是假设任何可搜索、可同步、可转发或可屏幕共享的内容都有可能变成公开的。
在本地保留 .env 文件用于方便是可以的,但绝不要把它提交到仓库。提交一个只含占位符的 .env.example,让团队成员知道变量名而看不到真实值。
在每个环境中使用相同的变量名,只更换值。例如 PAYMENTS_API_KEY 在 dev、staging 和 prod 都存在,但 dev 用测试密钥,prod 用实盘密钥。
不可以。服务端 API 密钥绝不能放在前端代码里,因为任何人在浏览器都能读到它。如果需要安全调用服务,应通过后端代理请求并把密钥保存在服务器上。
先创建新密钥(别立刻删除旧的),更新环境变量并重启或重新部署,让应用加载新密钥。验证真实流程(发测试邮件、完成测试支付等)在正常后,再撤销旧密钥。
立刻撤销或禁用被曝光的密钥,生成新密钥并更新环境设置后重新部署。等系统稳定后,查找泄露源(聊天记录、提交、截图等)以便清理并防止再次发生。
把机密按环境(dev/staging/prod)存入环境设置,不要放到项目聊天或源码里。若某次配置变更导致故障,使用快照和回滚回到已知良好的状态,而不是把密钥又放回代码中。