鉴权
API 密钥鉴权方式
鉴权方式
所有 /v1/* 接口都要求在请求头中携带 API Key:
Authorization: Bearer sk-lt-...缺失该请求头、或值不以 sk-lt- 开头,会被直接拒绝,返回 401。
获取与管理 API Key
在控制台的API Key 管理页可以:
- 创建新 key(可填写名称、可选设置配额)
- 随时查看已创建 key 的明文,无需在创建时立刻记下
- 禁用 key —— 禁用立即生效,不需要等待缓存过期
配额(quota)
创建 key 时可选填写配额。已设置配额的 key,累计用量达到配额后,该 key 的请求会被拒绝:
{"error":{"code":"quota_exceeded","message":"API key quota exceeded","request_id":"...","type":"quota_exceeded"}}状态码为 403。不设置配额则该 key 不受限。
模型白名单(model whitelist)
平台支持为 key 配置可调用的模型白名单(当前控制台创建 key 的界面尚未开放此项的自助设置)。若某个 key 存在白名单限制,请求了不在白名单内的模型会被拒绝:
{"error":{"code":"model_not_allowed","message":"model not allowed for this key","request_id":"...","type":"model_not_allowed"}}状态码为 403。不设置白名单则该 key 可调用平台全部模型。
鉴权失败示例
使用一个不存在或已禁用的 key 请求,会收到如下 401 响应体(以下为实际请求返回的真实内容,request_id 每次请求都不同):
{"error":{"code":"invalid_api_key","message":"invalid or disabled API key","request_id":"...","type":"invalid_api_key"}}若请求根本没带 Authorization 头,或值不是 Bearer sk-lt-... 格式,同样返回 401 invalid_api_key,仅 message 文案为 missing or malformed API key。
安全建议
- 不要把 API Key 硬编码或暴露在前端、客户端、移动端等代码中,应始终从服务端发起对 LoopToken 的调用。
- 一旦怀疑 key 泄露,立即在控制台禁用该 key 并创建新 key 替换。