Skip to content

第 05 课 · Key 放哪、谁来调

结论:浏览器永不持有模型 Key;BFF / 云函数集中调用;前端只拿业务 API。


三种放法

放法结果
前端写死 / 打包进 JS必泄露,账单被人刷爆
仅后端 / CFC 环境变量正确;配合 CORS + 限流
服务端再换短时 Token进阶企业玩法

learn:GitHub Pages 静态站 + 百度 CFC,QIANFAN_AK 只在函数环境;前端只有 VITE_CFC_BASE(URL,不是 Key)。

IAM AK/SK vs 千帆 API Key

密钥用途
百度云 IAM AK/SKbsam deploy、管云资源
千帆 API Key(Bearer)调聊天补全

两把钥匙,别混。此前手册已说明。

调用链(推荐)

text
浏览器 → HTTPS 云函数 → 千帆
         ↑ 限流 / CORS / 藏 Key

检查清单

  • [ ] 仓库无 Key(含历史 commit)
  • [ ] CI 构建日志无 Key
  • [ ] 生产 CORS 不是 * 长期敞开
  • [ ] 有按 IP / 用户的粗限流

下一课

第 06 课 · 流式、假流式与超时

© 曹宇春 · 个人学习整理,欢迎交流