数据安全
ai.TokenHub 提供全方位的数据安全保护,确保用户隐私和商业数据安全。
核心安全机制
零数据保留 (ZDR)
平台承诺不在服务端存储任何请求和响应的详细内容。
- 请求纯净转发:直接转发到上游 API 提供商
- 无日志留存:不记录请求的具体内容
- 即时销毁:处理完成后立即清除临时数据
用户请求 ──→ ai.TokenHub ──→ 上游 API
│
├── 不存储请求内容
├── 不存储响应内容
└── 仅记录用量元数据数据隔离
- 租户数据隔离:不同租户数据完全隔离
- 传输加密:全程 TLS 1.3 加密
- API Key 加密存储:使用 AES-256 加密
安全功能
鉴权与授权
json
{
"auth": {
"api_key": {
"encryption": "AES-256",
"rotation_support": true
},
"oauth": {
"supported": true,
"providers": ["google", "github", "microsoft"]
}
}
}IP 白名单
json
{
"security": {
"ip_whitelist": {
"enabled": true,
"allowed_ips": [
"203.0.113.0/24",
"198.51.100.0/24"
]
}
}
}两步验证 (2FA)
支持 TOTP 动态口令,为账户提供额外保护。
- Google Authenticator
- Authy
- 恢复代码备份
合规保障
| 合规项 | 说明 |
|---|---|
| GDPR 合规 | 符合欧盟通用数据保护条例 |
| 数据本地化 | 支持数据regional存储 |
| 审计日志 | 完整的操作审计记录 |
| 隐私政策 | 透明的隐私政策 |
安全最佳实践
对于用户
- 保护 API Key:不要在客户端代码中硬编码
- 启用 2FA:为账户添加两步验证
- IP 白名单:在生产环境启用 IP 限制
- 定期轮换:定期更换 API Key
- 监控日志:定期检查 API 使用记录
对于企业
- 子账号隔离:按部门创建独立子账号
- 权限最小化:按需分配 API Key 权限
- 额度控制:设置合理的额度上限
- 审计合规:启用完整的审计日志
响应安全事件
如果您发现安全问题或 API Key 泄露:
- 立即停用:在后台删除可疑的 API Key
- 生成新 Key:创建新的 API Key
- 检查日志:查看是否有异常使用
- 联系支持:如有需要,联系技术支持团队