Appearance
第 05 课 · Key 放哪、谁来调
结论:浏览器永不持有模型 Key;BFF / 云函数集中调用;前端只拿业务 API。
三种放法
| 放法 | 结果 |
|---|---|
| 前端写死 / 打包进 JS | 必泄露,账单被人刷爆 |
| 仅后端 / CFC 环境变量 | 正确;配合 CORS + 限流 |
| 服务端再换短时 Token | 进阶企业玩法 |
learn:GitHub Pages 静态站 + 百度 CFC,QIANFAN_AK 只在函数环境;前端只有 VITE_CFC_BASE(URL,不是 Key)。
IAM AK/SK vs 千帆 API Key
| 密钥 | 用途 |
|---|---|
| 百度云 IAM AK/SK | bsam deploy、管云资源 |
| 千帆 API Key(Bearer) | 调聊天补全 |
两把钥匙,别混。此前手册已说明。
调用链(推荐)
text
浏览器 → HTTPS 云函数 → 千帆
↑ 限流 / CORS / 藏 Key检查清单
- [ ] 仓库无 Key(含历史 commit)
- [ ] CI 构建日志无 Key
- [ ] 生产 CORS 不是
*长期敞开 - [ ] 有按 IP / 用户的粗限流