SimSmsBox API Key 是服务端集成最方便的鉴权方式,但「方便」也意味着「一旦泄露危害很大」。这篇讲讲怎么把 Key 用得安全。
一、永远不要把 Key 写进前端或仓库
最常见的事故是把 psk_xxx 提交进 Git 或打包进前端 JS。请记住:
- 前端永远不直接调用接码 API,改由你自己的后端中转。
- 仓库里只放
.env.example,真实 Key 放在.env并加入.gitignore。
# .env(不入库)
SMSHUB_API_KEY=psk_realkey_xxx
# .gitignore
.env二、一个用途一把 Key
不要全公司共用一把 Key。按服务 / 环境拆分:
| Key 名称 | 用途 |
|---|---|
server-prod | 生产环境后端 |
server-staging | 预发环境 |
job-bulk | 批量任务专用 |
这样一旦某把 Key 出问题,可以单独吊销而不影响其他业务。
三、定期轮换
给 Key 设定轮换周期(如每 90 天)。轮换时采用「双 Key 并行」平滑切换:
- 创建新 Key;
- 灰度切流到新 Key;
- 确认无流量后吊销旧 Key。
# 创建新 Key
curl -X POST https://api.simsmsbox.com/api/sms/api-keys \
-H "Authorization: Bearer <token>" \
-d '{"name":"server-prod-2026q3"}'四、泄露应急三步走
万一怀疑泄露:
- 立即吊销该 Key;
- 检查钱包流水,确认是否有异常消费;
- 创建新 Key 并排查泄露源(日志、截图、第三方服务)。
提示:SimSmsBox 后台可查看每把 Key 的最近调用记录,便于定位异常来源。
小结
安全不是某个开关,而是一套习惯:最小权限、用途隔离、定期轮换、应急可控。把这四件事做到位,接码集成既能省心也能放心。
延伸阅读:5 分钟快速接入 SimSmsBox API。