创建 API Key
1
访问 Platform Console
登录 app.profy.cn,然后访问 platform.profy.cn。两者共享登录态。
2
进入 API Keys 页面
在左侧导航栏点击 API Keys。
3
创建新 Key
点击 创建 API Key 按钮,填写以下信息:
- 名称:为 Key 起一个描述性名称(如「生产环境后端」、「数据分析脚本」)
- 权限范围(Scopes):选择 Key 可访问的端点范围
- 过期时间:选择 Key 的过期期限(30 天 / 90 天 / 1 年 / 永不过期)
4
保存 Key
点击确认后,系统会生成一个以
sk-pro- 开头的 API Key。权限范围(Scopes)
创建 API Key 时,你可以选择 Key 的权限范围:查看 API Keys
在 API Keys 页面,你可以看到所有已创建的 Key 列表:吊销 API Key
当 Key 不再需要或可能泄露时,应立即吊销:1
找到目标 Key
在 API Keys 列表中找到要吊销的 Key。
2
点击吊销
点击 Key 旁的删除/吊销按钮。
3
确认吊销
确认操作。吊销是不可逆的——被吊销的 Key 将立即失效,无法恢复。
安全存储
使用环境变量
使用密钥管理服务
对于生产环境,推荐使用云服务商的密钥管理服务:- AWS Secrets Manager
- 腾讯云 SSM
- HashiCorp Vault
安全最佳实践
不要在前端代码中使用 API Key
不要在前端代码中使用 API Key
浏览器端的 JavaScript 代码可被用户查看。如果你的 App 需要在前端调用袋袋 API,请使用 OAuth 流程获取用户级 Token,或通过你自己的后端代理请求。
不要将 Key 提交到版本控制
不要将 Key 提交到版本控制
使用
.env 文件存储 Key,并将 .env 添加到 .gitignore。CI/CD 环境使用密钥管理服务注入。设置过期时间
设置过期时间
为 Key 设置合理的过期时间。对于测试用途,使用 30 天过期;对于生产用途,使用 90 天或 1 年过期并定期轮换。
定期审计和轮换
定期审计和轮换
定期检查 API Keys 列表,吊销不再使用的 Key。对于长期运行的服务,制定轮换计划(如每季度更换一次 Key)。
监控异常使用
监控异常使用
在 Platform Console 的 Usage Stats 和 Call Logs 中监控 API 调用量。如发现异常激增,可能是 Key 泄露的信号。
调用日志
每个 API Key 的调用都会被记录。在 Platform Console 的 Call Logs 页面,你可以:- 按 Key 筛选:查看特定 Key 的调用记录
- 按状态码筛选:找到失败的调用
- 按端点筛选:查看特定 API 的调用
- 查看详情:展开查看请求和响应摘要
速率限制
API Key 受速率限制保护。当触发限制时,API 返回429 Too Many Requests。建议在客户端实现指数退避重试:
Desktop 自动配置
袋袋 Desktop 客户端在首次登录时会自动创建一个名为「袋袋 Desktop」的 API Key。这个过程对用户透明,无需手动操作。下一步
认证指南
了解 API Key 与 OAuth 的对比
Platform Console
了解控制台的完整功能

