密钥管理
想理解密钥的概念(前缀、scope、限速、归属)请先看 API 密钥。本页只讲控制台里怎么操作。
进入入口
app.ttttt.ai 登录后 → 顶栏选好组织 → 左侧 API 密钥。
创建密钥
点 + 创建密钥,弹窗里填:
| 字段 | 说明 |
|---|---|
| 名称 | 必填;建议起有辨识度的名字(cursor-personal、backend-prod、ci-2026q2) |
| 标签 (Tag) | 可选;用于成本分摊(team:growth / project:rag-bot) |
| 过期时间 | 可选;适合临时密钥 / 外包 |
| RPM 上限 | 每分钟最大请求数;不填 = 不限 |
| TPM 上限 | 每分钟最大 token 数;不填 = 不限 |
| 模型 Scope | 勾选允许的模型;空 = 当前可用模型全部允许 |
点 生成 → 完整密钥只展示一次,立刻:
- 点 复制 按钮
- 粘贴到密码管理器 / Vault /
.env文件 - 关掉弹窗后再也无法看到完整明文
列表视图
每行展示:
- 名称 / 标签
- 创建时间 / 最后使用时间
- 状态:active / expired / revoked
- 脱敏的 Key 头尾:
owo-xxxx****xxxx - 30 天用量与扣费小计
- 操作菜单
轮换密钥
操作菜单 → 轮换:
- 弹窗确认(旧密钥会立即失效)
- 系统用相同 name / tag / 限速 / scope 重发一把新密钥
- 跟首次创建一样,只展示一次 —— 立刻保存
何时用:怀疑泄露、定期轮换(例如每季度)、人员离职但你想保留这个用途的密钥配额。
停用密钥
操作菜单 → 停用:
- 立即对网关生效(下一次请求拒绝)
- 不可恢复 —— 误停用的话需要新建一把
- 历史用量 / 审计日志依然保留
何时用:密钥不再需要、紧急停掉某个泄露的密钥、清理实验性密钥。
调整限速 / scope
操作菜单 → 编辑:
- 修改 RPM / TPM —— 5 秒内全网生效(缓存传播窗口)
- 修改 modelScope —— 立即生效;被 scope 拒绝的请求返回
403 - 修改 tag —— 仅影响未来的 usage 记录
不能改:密钥本身的密文(要换密文 = 轮换)、归属用户(密钥跟着创建者走)。
多密钥的常见用法
| 场景 | 方案 |
|---|---|
| 个人用同一组织的多个工具 | 给每个工具一把(cursor / claude-code / codex 各一把) |
| 拆分成本中心 | 用 tag 字段标记部门 / 项目,月底用 SQL/Excel 按 tag 聚合 |
| 生产 vs 测试 | 生产密钥锁 modelScope,测试密钥放开但限 RPM/TPM |
| 临时给外部 | 设 30 天 expiresAt,到期自动失效 |
| CI 流水线 | 单独密钥,在 secrets 里管理;不要复用人工密钥 |
安全提示
- 密钥只在服务端使用——任何
owo-出现在浏览器或 APP 流量里都视为泄露 - 不要把密钥提交到 Git,即使是私有仓库
- CI 日志里不要用
echo $TTTTT_API_KEY一类的语句调试 - 建议团队制定”每季度轮换一次生产密钥”的策略
- 离职流程:先停用该成员名下所有密钥(管理员一键操作,详见 团队管理),再考虑是否移除组织成员资格
常见问题
Q: 我误关了创建弹窗,密钥保存到哪了? A: 密文已经无法找回。请新建一把,这次立刻复制保存。
Q: 同一名称能有多把密钥吗?
A: 不行——同一组织内 name 唯一。轮换是同名重发(自动停用旧的)。
Q: 密钥用量页面显示的”30 天扣费”和真实扣费会有差异吗? A: 列表里是准实时聚合(5 分钟内更新一次)。精确到分的明细在 用量 页。
Q: 别的成员能看到我的密钥列表吗?
A: 角色是 admin / owner 的成员能看到列表(不含明文),用于审计与应急撤销;member 之间互相看不到。
Last updated on