如何在 Taotoken 平台管理你的 API Key 与访问权限

如何在 Taotoken 平台管理你的 API Key 与访问权限

1. 创建你的首个 API Key

登录 Taotoken 控制台后，导航至「API 密钥」页面。点击「新建密钥」按钮，系统将生成一个以sk-开头的唯一字符串。密钥创建后请立即复制保存，页面刷新后将无法再次查看完整密钥内容。建议为每个应用或团队成员创建独立密钥，便于后续权限管理和审计追溯。

密钥名称应具有描述性，例如webapp-production或team-backend-dev。创建时可选择是否启用自动过期时间，对于临时测试用途建议设置 7 天或 30 天后自动失效。密钥一旦删除将立即失效，所有依赖该密钥的请求会收到 401 未授权响应。

2. 设置细粒度访问控制

Taotoken 支持通过权限策略限制密钥的使用范围。在密钥详情页点击「编辑策略」，可配置以下安全规则：

• 模型白名单：限制该密钥只能访问特定模型，例如仅允许调用claude-sonnet-4-6或gpt-4-turbo-preview
• IP 限制：填写允许发起请求的 IP 地址或 CIDR 范围，多个地址用逗号分隔
• 用量限额：设置每日/每月最大 Token 消耗量，超出限额后自动拒绝请求
• 操作限制：禁用敏感操作如密钥创建或账户设置修改

策略更新通常在 1 分钟内生效。测试阶段可先设置宽松策略，生产环境建议遵循最小权限原则。所有策略变更记录可在审计日志中查看。

3. 监控与审计密钥使用

在「访问日志」页面可以查看每个密钥的详细调用记录，包括时间戳、请求模型、消耗 Token 数和状态码。关键功能包括：

• 按时间范围过滤日志，支持最近 1 小时/24 小时/7 天等预设区间
• 搜索特定模型或状态码的请求记录
• 导出 CSV 格式日志用于离线分析
• 设置用量告警，当 Token 消耗达到阈值时触发邮件通知

审计日志帮助识别异常调用模式，例如突发流量增长或频繁的 429 限速响应。发现可疑活动时可立即吊销对应密钥。

4. 测试密钥有效性

创建密钥后，可通过以下 curl 命令快速验证其有效性：

curl -s "https://taotoken.net/api/v1/models" \ -H "Authorization: Bearer YOUR_API_KEY" \ -H "Content-Type: application/json"

正常响应应返回当前账号有权限访问的模型列表。若收到 401 错误，请检查：

• 密钥字符串是否完整复制，包含sk-前缀
• 密钥是否已被手动吊销或过期
• 请求头Authorization格式是否正确

生产环境建议定期轮换密钥，旧密钥撤销前应确保所有客户端已完成迁移。

开始使用 Taotoken 的完整权限管理功能，请访问 Taotoken 控制台。