最近很火的cdk分发站点，有效解决了公益站被一些别有用心的人滥用的问题，可以定位到滥用的api key对其进行撤销封禁，甚至前向追踪到特定的l站用户。 
最近在自己开发的api分发服务里面实现了一个新功能，使用可以实时签发的jwt代替提前预生成的大量api key。 
具体思路如下： 

为api key关联一个ref文本
仅需要向分发站点提供ref以及一个jwt secret
分发站点使用secret将ref，用户来源如linuxdo，用户唯一标识一起生成一个jwt，发放给具体用户
用户使用这个jwt代替原有的api key访问AI服务
AI服务验证jwt，并验证ref的有效性，然后提供AI请求能力

这个方案的优势在于简化了分发，不需要生成大量的api key并且保留其发放绑定的记录。 
另外基于jwt中的数据段，可以提供一些附加能力，如exp有效期，scope直接限制可访问的渠道/模...