# FERNET_KEY 管理 `FERNET_KEY` 用于加密客户在工作台录入的 API Key。它不是普通配置,必须单独备份。 ## 规则 - 每个生产环境生成唯一 `FERNET_KEY`。 - 不要复用本地测试环境的 key。 - 不要提交到 git。 - 不要发在聊天记录里。 - 备份时和数据库备份分开放置。 ## 丢失后果 如果 `FERNET_KEY` 丢失,数据库里的客户 API Key 密文无法解密,客户需要重新录入 key。 ## 生成方式 ```bash python3 - <<'PY' from cryptography.fernet import Fernet print(Fernet.generate_key().decode()) PY ``` ## 轮换方式 一期不做密文在线重加密。需要轮换时: 1. 通知客户暂停生成。 2. 清空 `user_api_keys` 中旧密文,或让客户在设置页逐个覆盖录入。 3. 更新服务器 `.env` 的 `FERNET_KEY`。 4. 重启 api/worker。 5. 让客户重新录入 API Key。