跳转到主要内容
Yelu 使用 HTTP Authorization Header 中的 API Key 鉴权所有兼容 OpenAI 的请求。

Bearer 鉴权

每个请求都应携带:

密钥生命周期

1

为不同应用创建独立密钥

开发、测试、生产以及不同工作负载应使用不同 Key,便于轮换、归因和限制。
2

使用 Secret Store

将 Key 保存在密钥管理器或受保护的环境变量中,只授予必要工作负载读取权限。
3

定期轮换

先创建并部署新 Key,验证流量后再撤销旧 Key。
4

泄露后立即撤销

Key 一旦出现在仓库、日志、截图或浏览器包中,应立即撤销。删除可见副本并不足够。

只能在服务端使用

不要在浏览器或移动端直接使用长期有效的 Yelu Key。客户端应调用你自己的已鉴权后端,再由后端调用 Yelu。
后端应验证最终用户身份与权限、限制模型和预算、校验输入、约束输出长度,并按隐私政策处理日志。

常见鉴权错误

错误响应使用兼容 OpenAI 的 error 对象,详见错误处理
最后修改于 2026年7月13日