跳转到主要内容

介绍

本指南涵盖安全最佳实践、性能优化和集成指南,帮助您使用 Lovi API 构建强大的应用程序。

🔒 安全最佳实践

API 密钥管理

✅ 应该做:
  • 将 API 密钥存储在环境变量或安全的配置管理系统中
  • 为不同环境使用不同的 API 密钥(开发、staging、生产)
  • 定期轮换 API 密钥(推荐每 90 天)
  • 监控 API 密钥使用情况并设置警报以检测异常活动
  • 如果可用,使用最小权限原则(为不同功能使用单独的密钥)
❌ 不应该做:
  • 在源代码中硬编码 API 密钥或将其提交到版本控制
  • 通过电子邮件、聊天或其他不安全渠道共享 API 密钥
  • 在开发环境中使用生产 API 密钥
  • 在应用程序日志中记录完整的 API 密钥

认证安全

// ✅ 好的 - 存储在环境变量中
const ACCESS_KEY = process.env.LOVI_ACCESS_KEY;

// ❌ 坏的 - 在源代码中硬编码
const ACCESS_KEY = 'your-actual-api-key-here';

请求安全

始终使用 HTTPS: 
// ✅ 好的 - 仅 HTTPS
const BASE_URL = 'https://cloud.lovi.ai';

// ❌ 坏的 - 不安全的 HTTP
const BASE_URL = 'http://cloud.lovi.ai';
验证输入数据: 
function validatePhoneNumber(number) {
  // 删除所有非数字字符
  const cleaned = number.replace(/\D/g, '');

  // 检查是否为有效的国际格式
  if (!/^\d{10,15}$/.test(cleaned)) {
    throw new Error('无效的电话号码格式');
  }

  return cleaned;
}