配置 ChatGPT API 环境变量 API_KEY 的最佳实践是使用操作系统环境变量或独立的 .env 文件加载，严禁将密钥硬编码在源代码中。这种做法适用于所有后端服务和服务器部署场景，核心风险边界是确保 .env 文件不被提交至版本控制系统。

命令速用版

在 Linux 或 macOS 终端中临时设置环境变量，适合快速测试：

export OPENAI_API_KEY='sk-你的密钥_here'

在项目根目录创建 .env 文件，适合持久化配置：

OPENAI_API_KEY=sk-你的密钥_here

Python 代码中加载环境变量：

from dotenv import load_dotenv
import os
load_dotenv()
api_key = os.getenv("OPENAI_API_KEY")

为什么会这样

硬编码密钥会导致密钥随代码库公开泄露，环境变量实现配置与代码分离。将 API Key 直接写在.py 或.js 文件里并上传到 GitHub 等公开仓库，爬虫和恶意扫描工具会专门搜寻这类模式，导致密钥在几分钟内就被盗用。环境变量避免了密钥存在于源码中，同时支持不同环境使用不同密钥。

分步处理

第一步：获取 API Key。登录 OpenAI 平台，进入 API Keys 页面，点击 Create new secret key 创建新密钥，创建后密钥只会显示一次，务必立即复制保存。

第二步：设置环境变量。在服务器或本地终端使用 export 命令，或在项目根目录创建 .env 文件并将密钥写入，格式为 OPENAI_API_KEY=你的密钥。

第三步：代码加载。使用对应语言的库读取环境变量，如 Python 使用 os.getenv，Node.js 使用 process.env，确保代码中不出现密钥字符串。

第四步：配置忽略规则。在项目根目录的 .gitignore 文件中添加 .env，防止密钥文件被提交至版本控制系统。

怎么验证是否生效

在代码中打印密钥长度或前缀进行确认，例如 Python 中 print(len(api_key)) 输出应大于 0。发起一次简单的 API 请求，检查 HTTP 状态码是否为 200，若返回 401 则说明密钥未正确加载或已失效。

常见坑

前端代码暴露：严禁在浏览器端 JavaScript 代码中直接使用 API Key，任何用户打开浏览器开发者工具都能轻易获取密钥。日志意外记录：调试时避免将包含 API Key 的请求头或错误信息打印到日志文件中，防止日志泄露。配置文件误提交：确保 .env 或 config.json 等包含密钥的文件已加入 .gitignore，避免团队协作时意外公开。

常见问题

前端页面能直接配置 API_KEY 吗？

不能，前端代码完全公开，密钥会被窃取。必须通过后端服务器转发请求。

密钥泄露后怎么处理？

立即在 OpenAI 控制台废弃该密钥，生成新的 API Key 并更新到环境变量中。

多环境如何管理不同密钥？

为开发、测试、生产环境分别创建不同的 .env 文件或使用服务器环境变量，实现隔离。

参考来源

• ChatGPT API Key 使用全指南：从安全配置到高效调用
• ChatGPT API 调用黄金法则：20 年 AI 架构师亲授 5 大避坑要点与生产环境最佳实践-CSDN 博客
• ChatGPT API Key 安全获取与最佳实践指南
• ChatGPT API Key 安全使用指南：从认证机制到最佳实践
• 打造个性化的 ChatGPT Web 界面:ChatGPT Next Web 实战指南