如何保障OpenAI API密钥安全：最好实践指南

OpenAI API提供了强大的语言处理功能，但在使用该API时，保障API密钥的安全性尤其重要。本文将提供一些保障OpenAI API密钥安全的最好实践指南。

一、命名和保护您的API密钥

1. 使用一致的变量名称

建议将变量的名称设置为OPENAI_API_KEY。通过在团队中保持一致，可以提交和分享代码，而不会暴露API密钥的风险。

2. 使用命令行设置环境变量

通过export命令在当前会话中设置OPENAI_API_KEY环境变量，确保只在当前会话中有效。

插入示例代码：
“`bash
export OPENAI_API_KEY=”YOUR_API_KEY”
“`

3. 避免在客户端环境中部署密钥

绝不要在浏览器或移动利用程序等客户端环境中部署API密钥，以避免被歹意用户获得。

二、API密钥的安全最好实践

1. 身份验证和授权访问

API密钥可以验证用户身份，确保只有授权用户才能访问OpenAI API服务。它还可以授权访问，限制每一个密钥的使用次数和使用范围。

2. 设置适当的密钥限制

根据您的需求和预算，设置API密钥的使用限制，避免滥用和逾额使用。

3. 定时更换API密钥

定期更换API密钥，以增加安全性并避免潜伏的未经授权访问。

4. 审计和监控

定期审计和监控API密钥的使用情况，借助OpenAI提供的使用统计和日志等功能，及时发现异常活动和潜伏的安全要挟。

三、其他安全建议

1. 使用基于角色的访问控制

通过使用基于角色的访问控制，确保只有授权用户才能访问密钥库。

2. 将API密钥添加到系统环境变量

通过将OpenAI API密钥添加到系统环境变量中，可以在代码中轻松地援用密钥，避免了明文暴露。

总结

保障OpenAI API密钥安全的最好实践包括命名和保护API密钥，设置适当的密钥限制和定时更换密钥，和审计和监控密钥的使用情况。另外，使用基于角色的访问控制和将API密钥添加到系统环境变量也是提高密钥安全性的有效方法。通过遵守这些最好实践，您可以有效地保护OpenAI API密钥的安全性，避免潜伏的安全要挟和未经授权访问。

利用程序编程接口（API）是指两个软件实体之间的通讯方式。例如，OpenAI 提供了一个 API，使开发人员能够以编程方式访问他们的大型语言模型（LLMs），如 GPT3、GPT3.5 和 GPT4。这些 LLMs 可以用于创建基于用户提供提示的 LLM 强化利用程序，从而生成内容。

API 密钥是用于认证和授权访问 API 的唯一标识符。通常，API 服务提供商允许开发人员为后续在利用程序和工具中使用生成 API 密钥。

在这个生成 AI 年代，API 密钥不再仅限于利用程序开发人员，而是也扩大到终端用户。不管您是将它们用于您的代码或者将它们粘贴到第三方利用中，未经授权的密钥使用都可能危害您的利用程序并致使意外的高额费用。因此，在本文中，我将与您分享使用 API 密钥的八个小贴士，以确保安全使用（以免安全漏洞，避免未经授权的访问和大额费用）：

首先，让我们从基础开始，了解一些与使用 API 密钥相关的风险。

您会不会曾履行过以下任务？

这些只是 API 密钥可能暴露给非授权用户的几个示例。换句话说，使用 API 密钥始终存在风险。通过遵守保护 API 密钥的最好实践，您可以帮助保护数据并避免未经授权访问您的利用程序。

API 密钥可能通过各种方式被盗取或泄漏，例如钓鱼攻击、数据泄漏和不安全的编码实践。一旦 API 密钥被盗取或泄漏，它可以履行不需要的操作，例如访问敏感数据、对数据进行不需要的更改，乃至在极端情况下关闭全部系统。

确保 API 密钥安全的最好方法之一是选择具有公然源代码的利用程序。这意味着任何人都可以查看组成利用程序的代码。

这类代码透明性有两个主要好处：

不管您的 API 密钥多么安全，它泄漏的风险始终存在。这将影响利用程序的安全漏洞，并可能致使财务损失。

为了解决这个问题，您可以为特定的 API 密钥设置上限。例如，为您在实时教程中使用的 API 密钥指定一个 $5 的上限。任何试图使用 API 密钥的人只能在最大为 $5 的情况下使用它。超过这个金额后，API 密钥将不再有效。

一次性 API 密钥是暂时的，短时间使用的密钥，用于一次性使用后立即抛弃（或过期）。

要使用一次性密钥，为每一个用处生成一个新的密钥。它们可以像从 API 提供商的网站生成任何其他 API 密钥一样生成。作为额外的安全措施，将之前的贴士利用于你的密钥上的信用限额。使用完一次性密钥后，您可以撤消它以避免进一步使用。

一个常见的毛病是不知不觉地将 API 密钥提交到 GitHub 存储库中，从而使其暴露出来。为了避免这类情况产生，将 API 密钥存储在与主要代码区别的文件中，然后在 .gitignore 文件中明确指定要疏忽的文件或目录。这样在提交代码时，这些文件/目录将被排除在外。

通过 .gitignore 隐藏 API 密钥

例如，如果您想排除存储在 config.py 中的 API 密钥，将以下内容包括在 .gitignore 文件中：

config.py

提交您的代码到 GitHub 时，您的 API 密钥将是安全的！

存储 API 密钥

在用于存储 API 密钥的 config.py 文件上拓展，在这里是文件内容：

OPENAI_API_KEY=’xxxxxxxxxxxx’

在 Python 中，您可以这样获得和打印 API 密钥：

from config import OPENAI_API_KEY print(OPENAI_API_KEY)

在下一个贴士中，我们将斟酌使用环境变量来存储 API 密钥。

另外一个常见的毛病是将 API 密钥直接硬编码到代码中。

将 API 密钥存储为环境变量

一种安全存储 API 密钥的方法是将其保存为计算机上的环境变量。这在将密钥保存在用户配置文件中时非常有用，例如 ~/.bashrc 或 ~/.bash_profile 文件。

例如，您可以将 OpenAI API 密钥存储在用户配置文件的环境变量中，方法是创建 ~/.bashrc 或 ~/.bash_profile 文件，并包括以下内容：

export OPENAI_API_KEY=’xxxxxxxxxxxx’

当您的代码需要访问 API 密钥时，可以通过 Python 库或指定为输入参数来检测它。

检索 API 密钥

以下是怎么从环境变量中检索 API 密钥：

1. 在终端窗口中，输入以下内容（$OPENAI_API_KEY 是 OpenAI API 密钥）：

$ echo $OPENAI_API_KEY

2. 在 Python 中，使用以下内容：

os.environ[‘OPENAI_API_KEY’]

3. 或，要访问存储的 OpenAI API 密钥，请使用以下内容：

os.getenv(‘OPENAI_API_KEY’)

如果 Python 库没法自动检测到 API 密钥，您可以指定它为输入参数。例如，在我们的 OpenAI 代码中，这将是 openai_api_key 输入参数：

llm = OpenAI(temperature=0.7, openai_api_key=os.getenv(‘OPENAI_API_KEY’))

云平台上的秘密管理

检查您部署 LLM 强化利用程序的云平台会不会提供管理 API 凭据的功能是值得的。

例如，Streamlit Community Cloud 具有秘密管理功能，可以让您通过环境变量以安全的方式存储和访问利用程序中的机密。

您可以通过将凭据粘贴到秘密文本框中将 OpenAI API 密钥添加到利用程序中，以下所示：

在利用程序中使用凭据可按以下方式完成（不要忘记导入 os ）：

os.environ[‘OPENAI_API_KEY’] = st.secrets[‘OPENAI_API_KEY’]

为了监控您的 API 密钥，估计利用程序的通常使用量。如果超过某个阈值，这可能表明您的 API 密钥已被泄漏。另外，监视 API 密钥的 IP 地址可以帮助辨认没必要要的访问。设置警报，以便在发现任何可疑活动时立即通知您。

轮换 API 密钥是减轻安全漏洞的另外一种有效方法。您可以定期用新生成的 API 密钥替换旧的密钥并撤消旧的密钥。

如果您在检查公然共享利用程序的代码时发现潜伏的安全要挟，您可能希望报告它。

以下是两种报告问题的方法：

API 密钥是提供开发人员和用户访问 API 服务提供商的服务的重要资产。但是，使用 API 密钥时存在安全风险，不管是在代码中使用它们或者将它们粘贴到第三方利用程序中。本文介绍了八个小贴士，用于安全地使用 API 密钥，以避免未经授权访问和潜伏的财务损失。

在撰写本文时，我向社区询问了有关安全使用 API 密钥的问题：

哪些贴士对您影响最大？您会不会使用了这里未提到的方法？请在下方评论区让我知道，或在 Twitter 上联系我：@thedataprof 或在 LinkedIn 上联系我。

本文由 Joshua Carroll、Krista Muir 和 Amanda Kelly 的头脑风暴构思和 Lukas Masuch 和 Charly Wargnier 的技术审核提供了思路。再次感谢 Ksenia Anske 对本文的编辑。

祝使用 Streamlit 写作愉快！