API 認証
Bearer API キー、スコープ付き権限、一度だけ表示されるシークレット、失効、ローテーションを使って Rivya API リクエストを認証します。
2026/05/10 最終レビュー
Rivya API は、サーバー間アクセスに API キーを使用します。
API キーはブラウザのログインセッションとは異なります。cookie、Better Auth のセッション状態、個人のブラウザトークンを公開 API の認証情報として使わないでください。
ヘッダー形式
キーは Authorization ヘッダーで送信します。
Authorization: Bearer rvya_sk_...完全なキーは作成時に一度だけ表示されます。Rivya は完全なシークレットではなく、ハッシュと見えるプレフィックスを保存します。
キーを作成する
- Rivya にサインインします。
- API Keys settings を開きます。
- 必要なスコープでキーを作成します。
- 完全なキーをすぐにコピーします。
- サーバー側のシークレットマネージャーまたは環境変数に保存します。
キーをクライアント側 JavaScript、モバイルアプリバンドル、公開リポジトリ、analytics イベント、ログに入れないでください。
現在のスコープ
最初のバージョンでは、次のスコープを文書化しています。
models:readgenerations:creategenerations:readfiles:createfiles:readcredits:readwebhooks:managechat:createchat:read
Settings で新しく作成したキーには、文書化されたスコープがデフォルトで含まれます。古いキーは、Files API、API Webhooks、Chat API を使う前に再作成が必要になる場合があります。
失効とローテーション
キーが漏えいした場合は次の手順を行います。
- Settings から古いキーを失効させます。
- 新しいキーを作成します。
- サーバー側のシークレットを更新します。
GET /api/v1/creditsで新しいキーが動作することを確認します。- ビルドシステム、ログ、デプロイ変数から古いキーを削除します。
失効したキーは api_key_revoked を返します。
認証エラー
一般的な認証エラーは次のとおりです。
api_key_missingapi_key_invalidapi_key_revokedapi_key_expiredapi_scope_deniedpublic_api_disabled
公開エラーテーブル全体は API エラーと制限 を参照してください。