很多人开通了 ChatGPT Plus 后,会以为自己已经自动拥有 API Key 或 API 额度。这里要先说清楚:ChatGPT Plus 和 OpenAI API Platform 是两套不同系统。ChatGPT Plus 主要用于 ChatGPT 网页/App 内使用;API Key 则用于开发者在自己的项目、服务端、脚本、Agent、插件或第三方工具里调用 OpenAI API。OpenAI 官方也说明,ChatGPT 和 API Platform 的账单、付款、使用记录是分开管理的。(OpenAI Help Center)
一、登录 OpenAI Platform
浏览器打开:
https://platform.openai.com/
使用你的 OpenAI 账号登录。这个账号可以和 ChatGPT Plus 是同一个账号,但登录后进入的是 OpenAI Platform 开发者平台,不是 ChatGPT 聊天页面。
登录后重点看这几个区域:
| 区域 | 作用 |
| --------- | ----------------- |
| Dashboard | 开发者控制台首页 |
| API Keys | 创建和管理 API Key |
| Billing | 查看 API 账单、充值、付款方式 |
| Usage | 查看 API 使用量 |
| Projects | 项目管理、成员、Key、预算、权限 |
| Limits | 模型使用限制、速率限制、预算提醒 |
二、创建 API Key
进入 OpenAI Platform 后,找到 API Keys 页面。
也可以直接访问:
https://platform.openai.com/api-keys
OpenAI 官方说明:Secret API key 可以在 API key 页面找到。(OpenAI Help Center)
创建流程:
-
登录
platform.openai.com -
进入 API Keys
- 点击 Create new secret key
-
选择所属 Project
-
设置名称,例如:
local-dev-key
或者:
my-agent-server-key
-
根据用途选择权限
-
创建后立即复制保存
注意:Key 创建后要立刻保存到安全位置。不要截图乱发,不要发给别人,不要粘贴到微信群、飞书、钉钉、GitHub issue、公众号后台、截图文章里。
三、API Key 权限怎么选
OpenAI Platform 支持给 API Key 设置权限。官方说明,创建新 Secret Key 时可以设置权限,也可以之后编辑已有 Key 的权限;常见权限级别包括 All、Restricted、Read Only。(OpenAI Help Center)
建议这样选:
| 场景 | 建议权限 |
| ------------ | ----------------- |
| 本地临时测试 | Restricted |
| 后端正式服务 | Restricted |
| 只读取模型列表/查询资源 | Read Only |
| 快速验证 Demo | 可以临时 All,但不建议长期使用 |
| 团队多人开发 | 每个人单独创建自己的 Key |
不要团队共用一个 Key。OpenAI 官方安全建议也明确提到:每个团队成员应使用唯一 API Key,不建议共享 Key。(OpenAI Help Center)
四、把 API Key 配置到本地环境
macOS / Linux
推荐写入 shell 配置文件。
如果你用的是 zsh:
echo 'export OPENAI_API_KEY="你的_api_key"' >> ~/.zshrc
source ~/.zshrc
验证:
echo $OPENAI_API_KEY
Windows PowerShell
setx OPENAI_API_KEY "你的_api_key"
重新打开终端后验证:
echo $env:OPENAI_API_KEY
OpenAI 官方建议使用环境变量保存 API Key,并推荐变量名使用 OPENAI_API_KEY。(OpenAI Help Center)
五、Node.js 项目调用示例
安装官方 SDK:
npm install openai
新建 example.mjs:
import OpenAI from "openai";
const client = new OpenAI({
apiKey: process.env.OPENAI_API_KEY,
});
const response = await client.responses.create({
model: "gpt-4.1-mini",
input: "用一句话介绍 OpenAI API。",
});
console.log(response.output_text);
运行:
node example.mjs
OpenAI 官方 Quickstart 也推荐在 Node.js、Deno、Bun 等服务端 JavaScript 环境中使用官方 SDK。(OpenAI 平台)
六、Python 项目调用示例
安装:
pip install openai
新建 example.py:
from openai import OpenAI
client = OpenAI()
response = client.responses.create(
model="gpt-4.1-mini",
input="用一句话介绍 OpenAI API。"
)
print(response.output_text)
运行:
python example.py
七、最重要的安全注意事项
1. 不要把 API Key 写死在前端代码里
错误示例:
const apiKey = "sk-xxxx";
尤其不要放在:
Vue
React
uni-app
小程序
Flutter
Electron 前端层
浏览器 JS
移动 App
OpenAI 官方明确提醒:API Key 不要暴露在浏览器、App 等客户端代码中,应该在服务端通过环境变量或密钥管理服务安全加载。(OpenAI 平台)
正确结构应该是:
前端页面
↓
你自己的后端接口
↓
后端读取 OPENAI_API_KEY
↓
调用 OpenAI API
2. 不要提交到 Git 仓库
不要把 Key 放进:
.env
config.js
application.yml
README.md
测试截图
接口文档
Dockerfile
CI 日志
如果项目需要 .env,应该提交 .env.example,不要提交真实 .env。
示例:
# .env.example
OPENAI_API_KEY=your_api_key_here
.gitignore 加上:
.env
.env.local
.env.*.local
OpenAI 官方安全建议也明确提到:不要把 API Key 提交到代码仓库,建议使用环境变量降低泄露风险。(OpenAI Help Center)
3. 不要把 Key 发给第三方工具,除非你信任它
很多第三方 AI 工具会让你填写:
OPENAI_API_KEY
填写前先确认:
| 检查项 | 是否必须 |
| ---------------- | ---- |
| 是否开源 | 建议检查 |
| 是否本地运行 | 建议优先 |
| 是否会上传 Key 到远程服务器 | 必须确认 |
| 是否支持自定义 Base URL | 看需求 |
| 是否有隐私政策 | 必须确认 |
| 是否可以只填临时 Key | 建议使用 |
不确定工具是否可信时,建议创建一个单独 Project + 单独 Restricted Key,并设置预算提醒。
八、Plus 用户最容易踩的坑
坑 1:以为 ChatGPT Plus 等于 API 免费
不是。
ChatGPT Plus 是 ChatGPT 产品订阅;API Platform 是开发者 API 调用。两边账单独立,使用记录也独立。(OpenAI Help Center)
坑 2:以为 Codex 一定需要 API Key
不一定。
如果你用的是 Codex CLI,并且它支持 ChatGPT 登录,那么 Plus 用户可以优先选择 ChatGPT 登录,不一定要走 API Key。
坑 3:把 API Key 放到前端
这是最危险的。只要代码被打包到浏览器、App、小程序里,别人就可能拿到你的 Key,然后刷你的 API 额度。
坑 4:忘记看 Usage 和 Billing
API 是按调用计费。建议刚开始使用时,经常看:
Usage
Billing
Limits
项目里也建议配置预算提醒。OpenAI 的 Project 支持设置月度预算和通知阈值,不过官方说明该月度预算主要用于监控和提醒,并不是严格硬限制;超出软预算后 API 请求可能仍会继续处理。(OpenAI Help Center)
九、推荐的项目级管理方式
如果你只是个人测试,可以先用默认项目。
如果你要做真实项目,建议这样拆:
OpenAI Organization
├── default-project
├── local-dev
├── agent-demo
├── company-prod
└── test-tools
每个 Project 单独管理:
API Keys
Members
Limits
Budgets
Usage
Model permissions
OpenAI 官方说明,API Keys 可以按 Project 管理;Project 内可以创建和管理 Key,也可以编辑 Key 权限。(OpenAI Help Center)
推荐命名:
wm-local-dev-key
wm-agent-server-dev
wm-agent-server-prod
wm-codex-test
不要用这种名字:
key1
test
new-key
aaa
openai
后期排查账单和泄露问题会很痛苦。
十、Key 泄露了怎么办
发现 Key 泄露后,立即做这几步:
-
登录 OpenAI Platform
-
进入 API Keys
-
删除或禁用泄露的 Key
-
创建新的 Key
-
更新服务器环境变量
-
检查 Usage 是否异常增长
-
检查 Git 历史、CI 日志、服务器日志
-
必要时重置相关部署环境
不要只是在代码里删掉 Key。
如果 Key 已经提交过 Git,Git 历史里仍然可能存在,需要额外清理历史记录。
十一、最终建议
个人开发者建议这样用:
ChatGPT Plus:用于日常聊天、写代码、Codex 登录
OpenAI API Key:用于自己的后端项目、Agent、脚本、自动化工具
API Key 最佳实践:
不要共享
不要写进前端
不要提交 Git
不要截图外发
不要长期使用 All 权限
生产环境使用 Restricted Key
不同项目使用不同 Key
定期查看 Usage 和 Billing
泄露后立即删除并重新生成
一句话总结:
ChatGPT Plus 是你使用 ChatGPT 的订阅;API Key 是你调用 OpenAI API 的开发者凭证。两者不是一回事,获取 Key 后一定要按生产级密钥管理方式处理。
