Authorization Header 中的 API Key 鉴权所有兼容 OpenAI 的请求。
Bearer 鉴权
每个请求都应携带:密钥生命周期
1
为不同应用创建独立密钥
开发、测试、生产以及不同工作负载应使用不同 Key,便于轮换、归因和限制。
2
使用 Secret Store
将 Key 保存在密钥管理器或受保护的环境变量中,只授予必要工作负载读取权限。
3
定期轮换
先创建并部署新 Key,验证流量后再撤销旧 Key。
4
泄露后立即撤销
Key 一旦出现在仓库、日志、截图或浏览器包中,应立即撤销。删除可见副本并不足够。
只能在服务端使用
后端应验证最终用户身份与权限、限制模型和预算、校验输入、约束输出长度,并按隐私政策处理日志。常见鉴权错误
错误响应使用兼容 OpenAI 的
error 对象,详见错误处理。