鉴权体系说明(Auth)
本文档说明 ai.TokenHub 的认证鉴权机制。
认证方式
API Key 认证
API Key 是访问 ai.TokenHub API 的主要凭证。
请求头格式:
Authorization: Bearer YOUR_API_KEYOAuth 2.0 认证
支持 OAuth 2.0 协议进行第三方应用授权。
授权流程:
- 引导用户访问授权页面
- 用户授权后获取授权码
- 使用授权码换取访问令牌
- 使用访问令牌调用 API
API Key 类型
| 类型 | 用途 | 权限范围 |
|---|---|---|
| 测试密钥 | 开发和测试 | 受限模型和额度 |
| 正式密钥 | 生产环境 | 全部模型和功能 |
权限控制
密钥权限
- 按模型授权:可指定密钥可访问的模型列表
- 按功能授权:可限制 API 调用功能
- 按额度授权:可设置密钥的额度上限
IP 白名单
支持设置 IP 白名单,限制 API 调用来源。
安全建议
- 密钥保管:不要在客户端代码中硬编码密钥
- 定期轮换:定期更换 API Key
- 最小权限:按需分配密钥权限
- 监控日志:定期检查 API 调用日志
- IP 限制:启用 IP 白名单功能
常见问题
Q: API Key 泄露怎么办? A: 立即在后台删除该密钥,生成新的密钥。
Q: 如何限制密钥的使用范围? A: 在后台创建密钥时设置权限范围和额度限制。