文章总结: 本文详细介绍了使用NewAPI搭建AIAPI中转站的全流程,包括服务器环境准备、Docker部署、安全配置要点以及实际应用演示。文档重点强调了生产环境下的安全设置(如修改默认密码、端口防护)、多模型统一管理能力,并提供了从部署到对外服务的完整操作指南,适合AI应用开发者构建私有化API网关。 综合评分: 82 文章分类: 安全工具,解决方案,技术标准,安全开发,其他
还不会搭建 API 中转站?New API 搭建属于你自己的 AI Token 中转站
原创
W不懂安全 W不懂安全
W不懂安全
2026年5月12日 10:52 河北
在小说阅读器读本章
去阅读
在使用AI的过程中,你同时使用 GPT、Claude、Gemini、还有DeepSeek,但你会发现每个模型都有不同的 API 接口、不同的 Key 管理方式、不同的调用限制。
有的人在项目里来回切换 API Key,有的人在不同平台重复配置模型,还有人因为额度失控导致服务中断。
其实你缺的不是模型,而是一个统一的“入口”。这也是今天这篇文章要解决的事情。
我们用 New API,搭建一个属于自己的 AI API 中转站,不管你是用来自用,还是用它来盈利、赚¥。
它可以帮你:
- 统一管理所有模型接口
- 自动分发请求到不同模型
- 控制 Key 权限与额度
- 让所有 AI 调用变成一个标准接口
- ……
如果你正在做 AI 应用开发、工具集成,或者只是想更高效地使用多个大模型,那么这个工具会让你的整个调用体系“干净很多”。
New API 搭建详细步骤
- 环境准备
✔ 服务器最低配置要求:
| | | | — | — | | CPU | 1核 | | 内存 | 1GB | | 系统 | Ubuntu 20.04/22.04 | | 硬盘 | 10GB SSD |
上方配置只适合自用,如果你是小规模对外运营(几十人)
起步推荐
| 配置 | 建议 | | — | — | | CPU | 2核 | | 内存 | 4GB | | 硬盘 | 40GB SSD | | 数据库 | MySQL | | Redis | 建议开启 | | 带宽 | 5Mbps+ |
能承受什么
大概:
- 30~100 在线用户
- 每分钟几十到几百请求
- 中小模型转发
- 带后台统计
如果是真正公开商用,那么CPU、内存最起码要翻4倍,带宽20Mbps+。
✔ 安装 Docker(核心依赖)
curl -fsSL https://get.docker.com | bash
启动 Docker:
systemctl start dockersystemctl enable docker
✔ 安装 Docker Compose
apt install docker-compose -y
- 拉取 New API 项目
git clone https://github.com/Calcium-Ion/new-api.gitcd new-api
官方给出的 docker-compose.yml 已经算是完整的生产模板了。
但如果你是:
- 🌐 对外开放
- 👥 多用户使用
- 🔑 存放真实 API Key
- 💰 甚至后期商业化
那你必须重点修改下面这些地方,否则风险很大。
1️⃣ PostgreSQL 密码(必须改)
POSTGRES_PASSWORD: 123456
必须换成强密码,它存储所有用户数据、API Key 、Token 、日志,如果被扫到,很容易全部泄露。
2️⃣ Redis 密码(必须改)
--requirepass 123456
Redis 如果裸露公网,非常危险,很多服务器被入侵,就是 Redis 没密码。
3️⃣ SESSION_SECRET(非常重要)
默认是注释的,如果需要开,提前把 # 去掉,生产环境必须加:
- SESSION_SECRET=你自己的超长随机字符串
它的作用是登录 Session 加密、多节点同步、防止 Cookie 被伪造。
4️⃣ 不要暴露数据库端口
默认是注释:
# - "5432:5432"
保持注释!不要对外开放:
- 5432(PostgreSQL)
- 6379(Redis)
- 3306(MySQL)
否则全网都能扫到,很多人服务器被拖库,就是这个原因。
5️⃣ 改默认管理员密码(上线第一件事)
#
后台默认:admin / admin123
登录后立刻修改。
建议:
- 用户名别叫 admin
- 密码 16 位以上
6️⃣ 流式响应(可选)
STREAMING_TIMEOUT=300
这个我建议大家设置大点,小的话在流式响应的时候会中断,这个使用过的人都会体会到。
配置没问题之后,就可以执行下方命令启动服务:
docker-compose up -d
如果你不用 docker-compose 也可以,可以使用下方的 Docker 命令,但是就是麻烦些:
# Pull the latest imagedocker pull calciumion/new-api:latest
# Using SQLite (default)docker run --name new-api -d --restart always \ -p 3000:3000 \ -e TZ=Asia/Shanghai \ -v ./data:/data \ calciumion/new-api:latest
# Using MySQLdocker run --name new-api -d --restart always \ -p 3000:3000 \ -e SQL_DSN="root:123456@tcp(localhost:3306)/oneapi" \ -e TZ=Asia/Shanghai \ -v ./data:/data \ calciumion/new-api:latest
提示:-v ./data:/data数据将保存在data当前目录下的文件夹中,你也可以将其更改为绝对路径,例如:-v /your/custom/path:/data
安装镜像时间可能久一点,我看需要拉取的镜像挺多,快慢取决于你的网络。
完成之后在本地浏览器,访问下方地址:
http://服务器IP:3000
进入之后,我们需要完成系统初始化,跟着提示走:
设置管理员的用户名和密码,坚决不能设置弱密码,很容易被爆。尤其是把用户名设置成 admin 。
接着是设置模式,有三个选项:
对外服务模式:如果你想要对外提供多租户的商业化服务,拿这个盈利的话,就选择这个。
自用模式:如果你是在本地部署使用,或者想自己用,不对外,那就选择这个。
演示站点模式:就是了解功能,熟悉操作,演示用的。
选好之后就点击“初始化系统”
过一会就初始化好了,这个页面就是你的入口网关。既然你是要对外提供服务的话,你应该去注册一个公网域名,然后把域名反代理到这个 IP+端口,通过改配置文件,就能反代到这里。
我建议使用 Nginx + HTTPS,不要直接是:服务器IP+端口。
正确做法是:
用户 ↓Nginx (443 HTTPS) ↓New API :3000
原因:
- HTTPS 加密
- 域名访问
- 防止中间人攻击
- 更像正规 API 服务
再者就是可以将域名托管到 Cloudflare :
用户 ↓Cloudflare ↓Nginx ↓New API
这样做的好处是让CF给你加防护:
- 防 CC
- 隐藏真实 IP
- WAF 防护
- 自动 HTTPS
很多 AI 中转站都这么做。
接下来点击“获取密钥”
用之前设置的管理员用户名和密码登录。
之后你就进入到了控制面板。
这里我就抓主要的功能来讲,多的我就不展开说了,否则很费舌👅了。
首先看订阅管理,然后新建一个套餐。
这里是给用户定制一个属于他们的套餐,设置一个DeepSeek套餐,然后就是给这个套餐设金额,币种默认是$,然后你还可以给这个订阅设置购买上限,也就是这个套餐能被购买几次,然后就是设置套餐有效期、额度。
接着点击“渠道管理”,添加渠道,这里是定义你的 token 的来源,不管你是个人还是服务商,都是通过这里添加 API token的来源
这里能选择的 很多常见的供应商都是支持的。
接着注意这里的密钥,这里填入的是你供应商/上游的密钥,比如我用的是deepseek,那么这里填写的就是我从deepseek官网买的API,不是你分发给用户的密钥。
接着是 令牌管理,这里才是给你自己或者给用户分发下去的API Key。
可以看到它能设置过期时间,然后是这个key能用多少额度,如果不限制额度,就打开 “无限额度”按钮。
下边就是这个key的访问限制,允许访问哪个模型,不允许使用哪个模型,完全自己可以控制,不选择就是默认的不限制。
创建完成之后它就会给你一个 密钥,这时候你就可以拿这个密钥去调用。
我这里在本地用vscode,名叫Cline的插件
安装好之后在左侧找到 Cline 面板,点击添加供应商配置。
添加时要注意,不要选 deepseek、Anthropic、OpenRouter,选择 OpenAI Compatible 或者 OpenAI。因为New API 本质是 OpenAI兼容接口。
Base URL填写:http://你的IP:3000/v1
如果你有域名:https://api.xxx.com/v1 ,注意 /v1 不能少。
之后我向它发送对话。
OK,可以看到它给我返回了,这就证明我们前边的流程是全部通过的。
到这里就已经完成了 API 中转的一个实现。
New API这个项目还有更多功能,你们可以自己去探索和扩展。
本期内容到此结束。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:W不懂安全 W不懂安全 W不懂安全《还不会搭建 API 中转站?New API 搭建属于你自己的 AI Token 中转站》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论