密钥与环境变量

什么是密钥？

密钥是命名的值——API 密钥、令牌、数据库 URL、Webhook 签名密钥—— 您部署的项目在运行时需要这些值，但它们绝不能出现在源代码、 聊天记录或生成的包中。FloopFloop 以加密方式存储它们， 并将其作为环境变量注入到您正在运行的项目中。

Secrets 标签页还托管 Cryptohopper 卡片，用于在您的项目需要时连接交易所账户。 定时任务使用相同的运行时注入模型，但会从模板清单中 自动注册——请参阅 Scheduled Jobs。

在您部署的项目中，读取它们的方式与任何 Node.js 应用中相同：

const stripe = new Stripe(process.env.STRIPE_SECRET_KEY);

为什么使用密钥而不是硬编码？

• 凭证永远不会进入聊天记录。如果您将密钥 粘贴到聊天中，FloopFloop's 的服务器端防护会在其被持久化 或发送给 AI 之前拒绝该消息。
• 凭证永远不会进入生成的包。 您的项目代码引用process.env.MY_KEY；该值仅在部署运行时内实例化。
• 您可以在不重新部署的情况下轮换密钥。 更新 密钥后，新值将在下一次请求时生效。

从控制台管理密钥

打开您的项目，进入 Settings，滚动到 Secrets & Environment Variables 部分。在那里您可以 添加新密钥、更新现有密钥或删除密钥。列表显示密钥名称和值的 最后四个字符——保存后将不再显示完整值。

聊天内提示

当 AI 生成需要尚未拥有的凭证的代码时，它会内联询问您。 对话框会预填充密钥名称；您粘贴值后点击保存。该值直接 进入加密存储——它不会写入聊天记录， 且对 AI 不可见。

密钥命名规则

• 仅使用 UPPER_SNAKE_CASE（字母、数字、下划线）。
• 必须以字母开头。
• 长度为 1–64 个字符。
• 示例：STRIPE_SECRET_KEY、OPENAI_API_KEY、DATABASE_URL。

限制

• 每个项目最多 25 个密钥。 更新现有密钥不计入 上限——只有添加新密钥才计入。
• 每个值最多 4096 个字符。 这远超任何标准 API 密钥或令牌的长度；较长的值几乎总是表明粘贴错误。

存储方式

每个值在离开 FloopFloop 之前都会使用 AWS KMS 客户托管密钥进行加密。 加密上下文将密文绑定到特定的项目和密钥名称，因此一个项目的密文 无法在另一个项目中解密。只有为您的项目提供服务的 SSR 运行时才有 权限解密；控制台、AI 和 FloopFloop 员工均无此权限。值永远不会被记录。

程序化访问

如果您希望从自己的工具中管理密钥，公共 API 提供了列表、 创建/更新和删除端点。请参阅 Secrets API 了解请求和响应格式。