LoopToken

鉴权

API 密钥鉴权方式

鉴权方式

所有 /v1/* 接口都要求在请求头中携带 API Key:

Authorization: Bearer sk-lt-...

缺失该请求头、或值不以 sk-lt- 开头,会被直接拒绝,返回 401。

获取与管理 API Key

在控制台的API Key 管理页可以:

  • 创建新 key(可填写名称、可选设置配额)
  • 随时查看已创建 key 的明文,无需在创建时立刻记下
  • 禁用 key —— 禁用立即生效,不需要等待缓存过期

配额(quota)

创建 key 时可选填写配额。已设置配额的 key,累计用量达到配额后,该 key 的请求会被拒绝:

{"error":{"code":"quota_exceeded","message":"API key quota exceeded","request_id":"...","type":"quota_exceeded"}}

状态码为 403。不设置配额则该 key 不受限。

模型白名单(model whitelist)

平台支持为 key 配置可调用的模型白名单(当前控制台创建 key 的界面尚未开放此项的自助设置)。若某个 key 存在白名单限制,请求了不在白名单内的模型会被拒绝:

{"error":{"code":"model_not_allowed","message":"model not allowed for this key","request_id":"...","type":"model_not_allowed"}}

状态码为 403。不设置白名单则该 key 可调用平台全部模型。

鉴权失败示例

使用一个不存在或已禁用的 key 请求,会收到如下 401 响应体(以下为实际请求返回的真实内容,request_id 每次请求都不同):

{"error":{"code":"invalid_api_key","message":"invalid or disabled API key","request_id":"...","type":"invalid_api_key"}}

若请求根本没带 Authorization 头,或值不是 Bearer sk-lt-... 格式,同样返回 401 invalid_api_key,仅 message 文案为 missing or malformed API key

安全建议

  • 不要把 API Key 硬编码或暴露在前端、客户端、移动端等代码中,应始终从服务端发起对 LoopToken 的调用。
  • 一旦怀疑 key 泄露,立即在控制台禁用该 key 并创建新 key 替换。

本页内容