Dify忘记了模型供应商的API Key怎么找回？解密实战指南

是 否 +2 论坛币

k人 参与回答

经管之家送您一份

应届毕业生专属福利!

求职就业群

赵安豆老师微信：zhaoandou666

经管之家联合CDA

送您一个全额奖学金名额~ !

立即领取

感谢您参与论坛问题回答

经管之家送您两个论坛币！

+2 论坛币

技术实战：从Dify数据库中恢复遗忘的API Key

在使用Dify AI应用开发平台的过程中，用户通常需要接入多个模型服务商，例如通义千问、SiliconFlow等，并配置相应的API Key。然而，随着时间推移和团队人员变动，这些关键密钥可能因未妥善记录而丢失。本文将通过一个真实运维场景，详细介绍如何在无法访问原始供应商控制台的情况下，安全地从Dify系统中找回已加密存储的API密钥。

问题背景与挑战

某企业此前已在Dify平台成功集成了以下两个插件：

• 通义千问 —— 用于生成式内容服务
• SiliconFlow —— 提供高性能推理能力

相关API Key已完成配置并加密保存，但由于后续进行了密钥轮换及项目交接不完整，导致当前运维人员无法获取原始密钥信息。由于缺少访问权限或历史日志，也无法登录对应供应商后台重新获取。此时，唯一可行的方式是从Dify本地数据库中提取并解密配置数据。

langgenius/tongyi

langgenius/siliconflow

核心原理：Dify的加密机制解析

Dify为保障敏感信息的安全性，对所有第三方服务凭证（包括API Key）均采用高强度加密策略进行持久化存储，具体机制如下：

• 加密方式：基于RSA非对称加密算法
• 存储位置：位于数据库的特定表结构中
• 字段标识：加密后的配置存放在encrypted_config字段内
• 租户隔离：每个租户（tenant）拥有独立的公私钥对，实现多租户安全隔离
• 解密依赖：解密过程需依赖Redis缓存中的私钥信息，确保运行时安全性

providers

encrypted_config

操作流程详解

第一步：查询数据库中的加密记录

首先，进入PostgreSQL数据库容器以执行查询命令：

docker exec -it docker-db-1 psql -U postgres -d dify

随后执行SQL语句，定位目标插件的加密配置项：

-- 查询通义千问插件
SELECT tenant_id, provider_name, encrypted_config
FROM providers
WHERE provider_name LIKE '%tongyi%';

-- 查询SiliconFlow插件
SELECT tenant_id, provider_name, encrypted_config
FROM providers
WHERE provider_name LIKE '%siliconflow%';

执行结果将返回包含租户ID和加密字符串的数据行，示例如下：

第二步：在应用上下文中解密配置

由于Dify的解密逻辑强依赖于完整的运行环境，不能直接调用函数处理，必须在API容器内启动Python交互环境：

docker exec -it docker-api-1 python

然后依次执行以下代码片段：

# 初始化Dify主应用实例
from app_factory import create_app
app = create_app()

# 进入应用上下文执行解密
with app.app_context():
    from core.helper.encrypter import decrypt_token
    
    # 替换为实际查得的值
    tenant_id = '34521314……'
    encrypted_config = 'SFlCUklEOii1DoRm……'
    
    # 执行解密操作
    decrypted = decrypt_token(tenant_id, encrypted_config)
    print("解密后的配置信息:", decrypted)

关键说明：必须使用create_app()构建完整应用实例，而非简单的导入或轻量级脚本。因为解密过程依赖以下组件初始化：

• Redis客户端连接（用于获取私钥）
• 存储扩展模块（如对象存储、缓存层）
• 数据库连接池
• Flask应用上下文管理

create_app()

create_flask_app_with_configs()

第三步：常见错误排查与解决方案

在实际操作中，可能会遇到以下典型异常情况：

错误1：Redis未正确初始化

RuntimeError: Redis client is not initialized. Call init_app first.

原因分析：未通过完整应用工厂加载环境，导致Redis连接缺失。
解决方法：务必使用create_app()创建应用上下文，禁止跳过初始化流程。

错误2：存储扩展缺失

AttributeError: 'Storage' object has no attribute 'storage_runner'

原因分析：部分扩展未注册，引发运行时异常。
解决方法：同上，确保所有核心扩展随应用一并初始化。

错误3：模块导入路径错误

ImportError: cannot import name 'encrypter'

正确写法：

from core.helper.encrypter import decrypt_token  # 正确

错误示例：

# from core.helper.encrypter import encrypter    # 错误

decrypt_token

总结与注意事项

• API Key的解密必须在完整的Dify应用上下文中进行
• 确保Redis服务正常运行且私钥已正确缓存
• 不同插件的配置字段可能存在差异，如api_key、secret_key等形式
• 注意租户级别的隔离机制，避免混淆tenant_id

dashscope_api_key

api_key

通过上述步骤，可以在合法合规的前提下，快速恢复丢失的API Key，保障AI服务的连续性和稳定性。建议企业在日常运维中建立完善的密钥管理制度，防止类似问题反复发生。

扫码加我 拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

分享0 收藏0 回帖

关键词：怎么找回 供应商 Key API DIF