轮换与撤销密钥

ToRouter 不支持重新生成原密钥——明文在创建时即被哈希存储，无法找回。轮换方式：新建一个 → 切流量 → 删旧的。撤销是即时生效的。

轮换（怀疑泄露时推荐）

新建替代密钥

API 密钥 → 创建密钥 → 命名同前并加 -v2 之类 → 复制新的 sk-***。详见创建密钥。

切换应用配置

把所有用到旧密钥的位置（.env、密钥管理服务、CI、Cursor / Cline 配置等）的 OPENAI_API_KEY / ANTHROPIC_API_KEY / GEMINI_API_KEY 改成新密钥。

发布部署。验证新密钥可用：

curl https://portal.torouter.ai/v1/models \
  -H "Authorization: Bearer sk-***"

删除旧密钥

API 密钥 → 旧密钥所在行 → 删除。下一次请求开始旧密钥即返回 401。

删除立即生效且不可撤回，请先确认没有生产流量还在用旧密钥。

撤销（不替换）

不再需要、或想立刻停掉某个密钥时，直接删除即可。在途请求继续完成，后续请求 401。

什么时候应轮换

密钥进入了 commit、日志、截图、工单或聊天记录
团队成员离开项目
周期性轮换（生产建议 90 天一次）
旧密钥未配限制，想替换为带限制的新版本

下一步

IP 限制

把替代密钥绑定到已知网段。

配额与限流

加一道花费上限。

被拦截的密钥

排查 401/403 错误。

ToRouter 不支持重新生成原密钥——明文在创建时即被哈希存储，无法找回。轮换方式：新建一个 → 切流量 → 删旧的。撤销是即时生效的。

轮换（怀疑泄露时推荐）

新建替代密钥

API 密钥 → 创建密钥 → 命名同前并加 -v2 之类 → 复制新的 sk-***。详见创建密钥。

切换应用配置

把所有用到旧密钥的位置（.env、密钥管理服务、CI、Cursor / Cline 配置等）的 OPENAI_API_KEY / ANTHROPIC_API_KEY / GEMINI_API_KEY 改成新密钥。

发布部署。验证新密钥可用：

curl https://portal.torouter.ai/v1/models \
  -H "Authorization: Bearer sk-***"

删除旧密钥

API 密钥 → 旧密钥所在行 → 删除。下一次请求开始旧密钥即返回 401。

删除立即生效且不可撤回，请先确认没有生产流量还在用旧密钥。

撤销（不替换）

不再需要、或想立刻停掉某个密钥时，直接删除即可。在途请求继续完成，后续请求 401。

什么时候应轮换

密钥进入了 commit、日志、截图、工单或聊天记录
团队成员离开项目
周期性轮换（生产建议 90 天一次）
旧密钥未配限制，想替换为带限制的新版本

下一步

IP 限制

把替代密钥绑定到已知网段。

配额与限流

加一道花费上限。

被拦截的密钥

排查 401/403 错误。

轮换（怀疑泄露时推荐）

新建替代密钥

切换应用配置

删除旧密钥

撤销（不替换）

什么时候应轮换

下一步

IP 限制

配额与限流

被拦截的密钥

目录

轮换与撤销密钥

轮换（怀疑泄露时推荐）

新建替代密钥

切换应用配置

删除旧密钥

撤销（不替换）

什么时候应轮换

下一步

IP 限制

配额与限流

被拦截的密钥

目录