管理 API 钥匙

打开云使用 API 钥匙来验证和授权 API 访问，这可以让您为体验中的特定资源添加细粒度权限和安全控制，例如数据存储和地点。

所有开放云 API 都需要您创建一个有效权限的 API 钥匙，并在请求中包含 x-api-key 头标，这允许应用程序以您的身份向开放云验证。

创建 API 钥匙

您可以为自己拥有的体验或群组拥有的体验创建和配置 API 钥匙（Roblox 组允许多个创作者在同一体验上工作、使用相同的资产并分享 API 钥匙）。

您必须是群组所有者或被分配到群组内拥有 API 钥匙管理权限的角色才能为您的群组创建 API 钥匙。群组成员只能创建与角色相同的资源访问权限的 API 钥匙。例如，只有拥有创建和编辑群组体验权限的群组成员才能创建一个可发布位置文件的 API 钥匙。

要创建 API 密键：

导航到创建者仪表板。
（可选）单击创建者中心下拉列表以选择组，如果您正在创建API密钥给一个群组。
在左侧导航菜单中，选择打开云 → API密钥。
点击创建API钥匙按钮。
输入您 API 钥键的独特名称。使用可以帮助你稍后记住目的的名称，例如 PLACE_PUBLISHING_KEY 为发布地点到你的体验。
在访问权限部分中，从选择 API 系统菜单中选择一个 API，然后单击添加 API 系统按钮。如果需要将多个 API 添加到钥键，请重复此步骤。
选择您想使用 API 密钥键问的体验。
从经验操作下拉列表中，选择您想要为 API 钥键启用的操作。

API 参考中的许多操作包括必需的权限范围。例如，清理内存存储操作需要universe.memory-store:flush。

为了安全原因，给每个 API 钥匙最低数量的必需权限。如果 API 密钥泄露，这一最低权限原则可确保只有您资源的部分子集受到侵害。
在安全部分，明确设置 IP 访问到钥匙使用 CIDR 记号，否则无法使用 API 钥键。您可以找到本地机器的 IP 地址，并将其添加到接受的 IP 地址部分，以及为需要访1) 使用权 2）通行证 3）访问权限的人添加额外的 IP 地址。如果您没有固定 IP，或者仅在本地环境中使用 API 密钥，您可以直接将 0.0.0.0/0 添加到接受的 IP 地址部分，以允许任何 IP 使用您的 API 密键。
(可选) : 为了添加额外的保护措施，设置明确的过期日期，以便您的密钥在过期日期后自动停止工作。
点击保存并生成密钥按钮。
复制并保存 API 钥匙字符串到一个安全位置，该位置不是不是你的代验证码的公共存储库。
在 API 扩展页面的创建者面板中检查您创建的 API 钥匙。

API 密钥字符串与应用程序的密码相等。永远不要与没有信任的方式分享它，例如你的开发团队之外的任何人。

集团拥有的 API 钥匙权限

群组所有者可以管理群组拥有的 API 钥匙权限，让群组成员根据组内的角色和权限拥有不同等级的 API 钥匙控制。还有情况会自动撤销组成员的 API 钥匙管理权限。

权限授予

作为群组所有者，您可以向群组内的角色授予管理所有 API 密钥权限。拥有此权限的成员拥有组所有者拥有的所有 API 钥匙权限，包括创创建 or 创作、查看、撤回、撤销和审核所有组的 API 钥匙的能力。

您还可以向群组内角色授予管理自己的 API 密钥权限。这允许成员仅创建和查看他们拥有的密钥，而不能管理其他人的密钥。

权限无效化

有多种情况会自动撤销群组成会员 / 成员的管理群API密钥权限：

成员被分配到没有权限的不同角色。这可能发生在群组所有权转移期间。
成会员 / 成员的权限在他们目前分配的角色中被禁用。
成员离开或被移除出群组。
成会员 / 成员的帐户由 Roblox 进行审核。

在这些情况下，由该用户生成的 API 钥匙都会被授予撤销状态。要再次使用这些键，群组所有者或拥有管理所有 API 键权限的成员必须重生这些键。

CIDR 格式

为了进一步保护您的资源，当创建 API 钥匙时，指定 IP 地址，可以使用普通 IP 地址或使用 CIDR 记号访问 API 钥匙。CIDR IP 地址看起来像普通 IP 地址，除了它以一条斜线和一个十进制结尾以表示多少比特的 IP 地址对网络路由具有重要意义：

正常 : 192.168.0.0
CIDR ：192.168.0.0/24

前部分是 IP 地址，后部分是网络面具，计数 1s 的位数以二进制格式。在上一个例子中， 24 意味着 255.255.255.0 （24 1 秒），可以允许所有 IP 之间的 192.168.0.0 和 192.168.0.255 之间。了解CIDR格式对于计划在服务器上运行应用程序特别有用。

API 钥匙状态

API 钥匙最初具有激活状态，但它们可能在使用期间变为非激活状态。要了解 API 钥匙为什么更改了状态以及如何将 API 钥匙返回到活动状态，请参阅以下表。

如果你或你的组在 60 天内没有使用或更新 API 钥匙，即使没有设置过期日期，它也会自动过期。这降低了恶意行为者使用旧 API 密钥的风险。如果您不再使用 API 钥键，您应该手动禁用或删除它。

状态	原因	分辨率
激活	没有问题。用户可以使用密钥来验证 API 调用。	N/A
已禁用	用户禁用了键启用启用键切换。	启用启用钥匙切换。
过期	钥键的过期日期已过。	要么移除或设置新的过期日期。
自动过期	用户在过去 60 天内未使用或更新密钥。	您可以禁用然后启用启用钥匙切换，或者可以更新钥键的任何属性，例如名称、描述或过期日期。
已撤销	仅限于群组密钥。生成密钥的帐户已不再具有足够的访问权限来管理群组的密钥。	点击重生密钥以获得新的秘密。
已调整	Roblox 管理员因安全原因更改了密键的秘密。	点击重生密钥以获得新的秘密。
用户已审核	生成密钥的帐户由 Roblox 进行审核。	解决帐户上的审核问题。