在前端项目中安全调用大模型 API 的实践，我是怎么做的？

1.千万别把密钥放前端

这是我见过最多人掉坑的地方。前端调用大模型 API 最忌讳的就是把密钥写在代码里，因为无论你怎么混淆，最终都能被扒出来。正确做法就是——永远通过后端转发。前端只传用户输入，后端再负责真正的 API 请求。

我一开始嫌麻烦想偷懒，后来密钥被人抓走疯狂调用，那次真是付费付得心痛。之后就彻底死心了：所有敏感操作都放后端，省事又省钱。