鉴权
API开放平台 采用两段式鉴权:先用 API-Key 换取 access_token,再用 token 调用业务接口。
text
X-API-Key ──► POST /apikeys/token ──► access_token ──► Authorization: Bearer <token>积分相关接口(查余额、给用户充值、查流水)由贵方 服务端直接携带 X-API-Key 调用,不走 Bearer token。详见 API 参考 · 积分。
第一步:用 API Key 换 Token
POST /api/v1/apihub/apikeys/token
请求头
| 名称 | 必填 | 说明 |
|---|---|---|
X-API-Key | 是 | 控制台生成的密钥,通常以 sk- 开头 |
Content-Type | 是 | application/json |
请求体
| 字段 | 类型 | 必填 | 说明 |
|---|---|---|---|
client_user_id | string | 是 | 业务侧用户标识,token 与该用户绑定 |
成功响应(示例)
json
{
"code": 200,
"message": "success",
"data": {
"access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...",
"expires_in": 7200
}
}第二步:携带 Token 调用业务接口
所有业务接口在请求头携带:
text
Authorization: Bearer <access_token>注意事项
- 不要在前端 / 客户端暴露
X-API-Key,换取 token 的动作应在你的服务端完成。 - token 有有效期(
expires_in,秒),临近过期前重新换取。 - token 与
client_user_id绑定,不同业务用户应使用各自的 token。
失败响应与状态码见 错误码。