模块四
API Key 与授权管理
学到这里,你已经知道 API 是克总的核心协作方式。但有一个实际问题:每次开一个新对话,都要重新给克总贴一遍 API Key,烦不烦?
更糟糕的是,有些人为了省事,直接把 API Key 写在代码里。这就像把家门钥匙贴在门上——方便是方便了,但谁都能进来。
你可能正在犯的错误
错误一:每次都重新贴 Key
新对话→贴 Key→干活→关对话→新对话→又贴 Key……不只是烦,还容易贴错、贴漏。
错误二:Key 写在代码里
直接写 const API_KEY = "sk-abc123..."。代码被分享或上传 GitHub,Key 就泄露了。
错误三:Key 发在聊天群里
截图里带着 API Key,或者直接在群里发。一旦发出去,你就失去了对 Key 的控制。
正确做法:.env 文件——你的保险箱
项目根目录 / .env
GEMINI_API_KEY=AIzaSy...你的Gemini密钥 TIKTOK_API_KEY=tk_...你的TikTok密钥 ANTHROPIC_API_KEY=sk-ant-...你的Claude密钥
| 做法 | 安全性 | 方便性 |
|---|---|---|
| Key 写在代码里 | 危险 | 方便但后患无穷 |
| 每次手动贴 Key | 安全 | 麻烦 |
| 放在 .env 文件里 | 安全 | 方便 |
把 .env 想象成一个保险箱:钥匙都锁在里面,需要的时候打开拿,不需要的时候锁着。
让克总跨会话自己找到 Key
在项目根目录的 CLAUDE.md 文件里加一句:
CLAUDE.md
## API 配置 所有 API Key 存放在项目根目录的 .env 文件中。 需要调用 API 时,请从 .env 文件读取对应的 Key。
克总每次启动时自动读取 CLAUDE.md。看到这句话后,它就知道 Key 在哪、怎么拿。你不需要每次都告诉克总 Key 是什么。
安全管理基本常识
规则一:.env 绝对不能提交到 Git
在项目根目录创建 .gitignore 文件,写入:
.env规则二:Key 泄露了怎么办
立刻做两件事:1. 去服务商后台重新生成新 Key;2. 把旧 Key 删除或禁用。
规则三:不要把 Key 发在任何公开地方
不要发在聊天群、截图、共享文档、GitHub(即使是私有仓库也要小心)。
规则四:定期清理
每隔一段时间检查 .env 文件,不用的 Key 去服务商后台删掉。就像定期清理钥匙串。
实操演示
在项目根目录创建 .env,写入你的 API Key。每一行是一个键值对:名字=值。
从此以后,你再也不需要每次都给克总贴 Key 了。