Key 登录安全
本页说明 API Key 登录接口、防爆破策略和 key 登录态的权限边界。
登录接口
使用 POST /api/user/auth/key-login 登录。
{
"api_key": "sk-xxxxxxxxxxxxxxxx"
}
防爆破策略
- 按 IP:15 分钟最多 20 次
- 按 Key 指纹:15 分钟最多 10 次
- 按 IP + Key 指纹:15 分钟最多 5 次
- 命中限流后返回
429 - 错误信息统一收敛,避免通过响应内容枚举有效 key
登录态权限限制
- 仅可查看并操作当前登录 key 相关数据
- 服务端强制按当前 key 作用域查询 usage,客户端参数不会越权
- key 登录态下不提供删除入口
- 账号登录态可按需删除 API Key
使用建议
- 不要把高权限操作开放给 key 登录态。
- 对 key 登录后的查询接口继续保留服务端作用域校验。
- 联调阶段也要验证 429、401 和越权场景是否符合预期。