第 4 课
安全调试 API 请求
隐藏密钥、避免意外执行,并审查生成的请求代码。
cURL 命令经常包含真实 token、cookie、邮箱、客户 id 和内部主机名。应把它们视为敏感调试材料。
分享前先脱敏
把命令粘贴到 issue、聊天、文档或 AI 工具前,先替换密钥:
Authorization: Bearer <redacted>
Cookie: session=<redacted>
X-Api-Key: <redacted>
不要依赖记忆。把脱敏变成习惯。
避免意外执行
本地转换器应该解析命令,而不是发送请求。这很重要,因为复制来的 cURL 命令可能会创建数据、删除记录、触发支付或调用生产系统。
如果确实需要运行请求,请在正确环境里有意识地执行。
审查生成代码
使用转换后的代码前,检查:
- 是否发送同一种方法?
- Headers 是否保留?
- 请求体编码是否一致?
- Token 是否硬编码?
- 运行时是否支持这个请求?
- 是否处理错误?
保留可复现性
调试 bug 报告时,应在安全位置保留原始 cURL 命令,并把转换后的代码放在旁边。原始命令是证据;转换代码是实现草稿。
好的 API 调试是谨慎的:解析、查看、脱敏、转换、审查。