在过去，Cloudflare 的相关 API 都需要通过 Email + Global API key 的方式进行验证。所谓 Global API key，一个账户自然只有一个，并且拥有所有权限。这种一刀切的权限管理不符合最小权限原则。如果把它保存在每个使用它的服务器上，一旦其中一台服务器被骇，整个 Cloudflare 账户上所有站点的配置都有被篡改的风险。

幸运的是，在今年八月末，Cloudflare 终于有了 API token 功能。用户可以通过 API token 细化授权粒度，只给予操作所需要的权限，以增强系统的整体安全性。