密钥占位符约定
使用人类可读但不像真实密钥的占位符。推荐样式
- 优先使用描述性值,例如
example-openai-key-not-real或example-discord-bot-token。 - 对于 shell 片段,优先使用
${OPENAI_API_KEY},而不是内联的类似 token 的字符串。 - 保持示例显然是假的,并限定在用途范围内(提供商、渠道、凭证类型)。
在文档中避免这些模式
- 字面量 PEM 私钥头部或尾部文本。
- 类似真实凭证的前缀,例如
sk-...、xoxb-...、AKIA...。 - 从运行时日志复制的看起来真实的 bearer token。