Rivya AI ドキュメント

API 認証

Bearer API キー、スコープ付き権限、一度だけ表示されるシークレット、失効、ローテーションを使って Rivya API リクエストを認証します。

2026/05/10 最終レビュー

Rivya API は、サーバー間アクセスに API キーを使用します。

API キーはブラウザのログインセッションとは異なります。cookie、Better Auth のセッション状態、個人のブラウザトークンを公開 API の認証情報として使わないでください。

ヘッダー形式

キーは Authorization ヘッダーで送信します。

Authorization: Bearer rvya_sk_...

完全なキーは作成時に一度だけ表示されます。Rivya は完全なシークレットではなく、ハッシュと見えるプレフィックスを保存します。

キーを作成する

  1. Rivya にサインインします。
  2. API Keys settings を開きます。
  3. 必要なスコープでキーを作成します。
  4. 完全なキーをすぐにコピーします。
  5. サーバー側のシークレットマネージャーまたは環境変数に保存します。

キーをクライアント側 JavaScript、モバイルアプリバンドル、公開リポジトリ、analytics イベント、ログに入れないでください。

現在のスコープ

最初のバージョンでは、次のスコープを文書化しています。

  • models:read
  • generations:create
  • generations:read
  • files:create
  • files:read
  • credits:read
  • webhooks:manage
  • chat:create
  • chat:read

Settings で新しく作成したキーには、文書化されたスコープがデフォルトで含まれます。古いキーは、Files API、API Webhooks、Chat API を使う前に再作成が必要になる場合があります。

失効とローテーション

キーが漏えいした場合は次の手順を行います。

  1. Settings から古いキーを失効させます。
  2. 新しいキーを作成します。
  3. サーバー側のシークレットを更新します。
  4. GET /api/v1/credits で新しいキーが動作することを確認します。
  5. ビルドシステム、ログ、デプロイ変数から古いキーを削除します。

失効したキーは api_key_revoked を返します。

認証エラー

一般的な認証エラーは次のとおりです。

  • api_key_missing
  • api_key_invalid
  • api_key_revoked
  • api_key_expired
  • api_scope_denied
  • public_api_disabled

公開エラーテーブル全体は API エラーと制限 を参照してください。

関連ページ

目次