API Reference

安全與部署建議

• 公開 ReDoc / Swagger 本身不會自動洩漏金鑰；風險在於「Try it」若對著生產環境、且 schema 含敏感端點或示例帶真實內部 ID，可能方便枚舉。建議：對外只掛唯讀公開路由的 OpenAPI，或把互動式文件放在需登入的開發者後台。
• 生產環境可對 /docs、/redoc 做 IP 限制、Basic Auth、或僅在 staging 開啟；付費 API 的試打應走帶 API Key / x402 的流程，而非匿名對生產庫寫入。
• 若希望前端「像官網文件」但又不暴露內網後端：可在 build 時把 openapi.json 拷貝到 CDN，再用靜態 ReDoc 渲染（與實際 API 主機分離）。