最佳实践

遵循这些最佳实践，以保护您的 API 密钥安全并保护您的 Lybic 资源。

存储和处理

永远不要提交 API 密钥

不要将 API 密钥提交到版本控制系统。请改用环境变量或密钥管理工具。

// 永远不要硬编码 API 密钥
const lybic = new LybicClient({
  apiKey: 'lysk-abc123...', // 不安全
})

// 改用环境变量
const lybic = new LybicClient({
  apiKey: process.env.LYBIC_API_KEY, // 安全
})

使用环境变量

将 API 密钥存储在环境变量或安全配置文件中：

.env

LYBIC_API_KEY=lysk-your-api-key-here
LYBIC_ORG_ID=your-org-id
LYBIC_BASE_URL=https://your-base-url.example

import os
from lybic import LybicClient

# 自动从环境变量读取
client = LybicClient()

export LYBIC_API_KEY="lysk-your-api-key-here"
export LYBIC_ORG_ID="your-org-id"

保护配置文件

确保包含 API 密钥的配置文件具有受限权限：

chmod 600 .env

将敏感文件添加到 .gitignore：

.gitignore

.env
.env.local
config/secrets.json

密钥轮换

定期轮换

定期轮换 API 密钥，以最大程度地减少潜在泄露的影响：

在控制台中创建新的 API 密钥
使用新密钥更新您的应用程序
测试新密钥是否正常工作
删除旧密钥

立即轮换

在以下情况下立即轮换密钥：

密钥意外暴露在日志或版本控制中
有权访问密钥的团队成员离开组织
您怀疑存在未经授权的访问

访问控制

限制密钥分发

为不同的应用程序或环境创建单独的 API 密钥：

每个应用程序一个密钥
每个团队成员一个密钥用于开发
生产和开发使用不同的密钥

这允许您撤销特定密钥而不影响其他服务。

描述性名称

创建 API 密钥时使用描述性名称以标识其用途：

Production-Web-App
Development-John
CI-CD-Pipeline
Mobile-App-iOS

应用程序安全

安全的客户端使用

永远不要在客户端代码中暴露 API 密钥：

不要在前端 JavaScript 中包含 API 密钥
使用后端代理进行 Lybic API 调用
为您的用户实施适当的身份验证

仅使用 HTTPS

传输 API 密钥时始终使用 HTTPS：

const lybic = new LybicClient({
  baseUrl: 'https://your-base-url.example', // 始终使用 HTTPS
})

监控使用情况

定期审查您的 API 密钥使用情况：

在控制台中检查 API 密钥页面
监控意外密钥
删除未使用的密钥

事件响应

如果密钥泄露

如果您怀疑密钥已泄露，请立即采取行动：

在控制台中立即删除泄露的密钥
创建新密钥并更新您的应用程序
审查最近的活动以查找任何未经授权的访问
如有必要，轮换其他密钥

联系支持

如果您认为您的组织安全已受到威胁，请立即联系 Lybic 支持。