本文针对即将到来的后量子密码迁移挑战，指出当前密码API在设计时未考虑敏捷性，导致算法替换困难。作者提出一个基于组件的评估框架，用于系统性地衡量应用层密码敏捷性。该框架包含七个正交维度：三个耦合维度（操作耦合、创建耦合、配置耦合）衡量应用代码对算法和提供者的依赖程度；一个横切解耦机制；一个治理权威维度；以及两个敏捷性使能维度（版本化能力和外部化配置）。框架是非线性的，可以捕获非层次化特征。作者用该框架评估了六个代表性API：PKCS#11、OpenSSL 3.0、JCA、Google Tink、AWS KMS和HashiCorp Vault Transit。评估揭示了三个普遍且独立的缺口：没有系统支持基于意图的密钥创建，没有提供策略驱动的算法选择（区别于访问控制），也没有为现有密钥的算法转换提供专用的一流操作。这些缺口单独就足以阻碍敏捷迁移，解释了为何尽管API发展数十年，后量子迁移仍然是软件工程问题。本文适合密码学研究人员、安全架构师和软件开发者阅读，以理解现有API的局限性并指导未来设计。