Key 安全建议

Key 是设备接入和 API 调用的重要凭证，应按照敏感信息进行管理。

不要公开 Key

避免在以下位置暴露 Key：

• GitHub 等公开仓库
• 群聊截图
• 公开文档
• 前端源码
• 移动端包体
• 日志文件
• 工单截图

最小权限原则

不同用途应使用不同 Key。

例如：

• 设备接入使用 Group Key。
• 服务端 API 调用使用 SDK Key。
• 不同服务商或机房应使用独立凭证。
• 测试环境和生产环境应分离。

泄露处理

如果怀疑 Key 泄露：

1. 停止继续使用相关 Key。
2. 联系平台方确认影响范围。
3. 检查是否有异常设备接入。
4. 检查是否有异常 API 调用。
5. 更换或撤销相关 Key。
6. 更新使用该 Key 的设备或系统。

日志处理

日志中不应完整输出 Key。

建议只展示部分掩码，例如：

ztg_****_9a3f

这样既方便排查，也能降低泄露风险。