Authorization 请求头传递。
API Key 认证
API Key 是最简单的认证方式,适用于服务端到服务端的直接调用。使用方式
在请求头中添加Authorization: Bearer sk-pro-xxxx:
特征
适用场景
- 后端服务调用 AI 能力
- 自动化脚本和定时任务
- 内部工具和管理系统
- 开发测试阶段
安全最佳实践
- 不要在前端代码中使用 API Key——浏览器端的代码可被用户查看
- 使用环境变量存储 Key,不要硬编码在源码中
- 设置过期时间——在 Platform Console 创建 Key 时选择过期期限
- 按需分配权限范围(scope)——不要使用全量权限
- 定期轮换——定期创建新 Key 并吊销旧 Key
OAuth Bearer 认证
OAuth 认证适用于代表用户操作的 App 场景。通过标准 OAuth 2.0 Authorization Code 流程获取 Access Token。使用方式
特征
适用场景
- App 代表用户调用 AI 模型
- 需要用户授权的第三方应用
- 按用户计费的 SaaS 产品
- 自定义计费事件上报(
/v1/events仅支持 OAuth)
OAuth 流程概览
两种方式对比
如何选择
1
确定计费主体
如果积分应从你自己的账户扣除 → API Key如果积分应从用户的账户扣除 → OAuth
2
确定调用方式
如果是后端服务直接调用 → API Key如果是App 代表用户操作 → OAuth
3
确定功能需求
如果需要使用 Events API 上报自定义计费事件 → OAuth其他场景两者均可
认证错误
当认证失败时,API 会返回以下错误:
错误响应示例:
速率限制
API 调用受速率限制保护。限制按 API Key 或 OAuth Token 所属用户维度计算。 当触发速率限制时,API 返回429 Too Many Requests:
下一步
API Key 管理
创建、查看、吊销 API Key 的完整指南
OAuth 集成
完整的 OAuth 2.0 集成流程

