跳转到主要内容
袋袋平台 API 支持两种认证方式,分别适用于不同的集成场景。所有认证信息都通过 Authorization 请求头传递。

API Key 认证

API Key 是最简单的认证方式,适用于服务端到服务端的直接调用。

使用方式

在请求头中添加 Authorization: Bearer sk-pro-xxxx

特征

适用场景

  • 后端服务调用 AI 能力
  • 自动化脚本和定时任务
  • 内部工具和管理系统
  • 开发测试阶段

安全最佳实践

API Key 是你账户的凭证,泄露可能导致积分被消耗。请遵循以下安全实践:
  1. 不要在前端代码中使用 API Key——浏览器端的代码可被用户查看
  2. 使用环境变量存储 Key,不要硬编码在源码中
  3. 设置过期时间——在 Platform Console 创建 Key 时选择过期期限
  4. 按需分配权限范围(scope)——不要使用全量权限
  5. 定期轮换——定期创建新 Key 并吊销旧 Key

OAuth Bearer 认证

OAuth 认证适用于代表用户操作的 App 场景。通过标准 OAuth 2.0 Authorization Code 流程获取 Access Token。

使用方式

特征

适用场景

  • App 代表用户调用 AI 模型
  • 需要用户授权的第三方应用
  • 按用户计费的 SaaS 产品
  • 自定义计费事件上报(/v1/events 仅支持 OAuth)

OAuth 流程概览

详细的 OAuth 集成指南请参阅 OAuth 集成

两种方式对比

如何选择

1

确定计费主体

如果积分应从你自己的账户扣除 → API Key如果积分应从用户的账户扣除 → OAuth
2

确定调用方式

如果是后端服务直接调用 → API Key如果是App 代表用户操作 → OAuth
3

确定功能需求

如果需要使用 Events API 上报自定义计费事件 → OAuth其他场景两者均可

认证错误

当认证失败时,API 会返回以下错误: 错误响应示例:

速率限制

API 调用受速率限制保护。限制按 API Key 或 OAuth Token 所属用户维度计算。 当触发速率限制时,API 返回 429 Too Many Requests
Platform Console 的 Usage Stats 页面可以查看你的 API 调用量和速率使用情况。

下一步

API Key 管理

创建、查看、吊销 API Key 的完整指南

OAuth 集成

完整的 OAuth 2.0 集成流程