API-authenticatie

Rivya API gebruikt API-sleutels voor server-naar-servertoegang.

Een API-sleutel is niet hetzelfde als een browserlogin-sessie. Gebruik geen cookies, Better Auth-sessiestatus of persoonlijk browsertoken als publieke API-credential.

Header-indeling

Stuur de sleutel mee in de Authorization header:

Authorization: Bearer rvya_sk_...

De volledige sleutel wordt alleen bij het aanmaken één keer getoond. Rivya slaat een hash en een zichtbare prefix op, niet het volledige geheim.

Een sleutel aanmaken

1. Log in bij Rivya.
2. Open API Keys-instellingen.
3. Maak een sleutel aan met de scopes die je nodig hebt.
4. Kopieer de volledige sleutel meteen.
5. Bewaar hem in een server-side secret manager of omgevingsvariabele.

Zet de sleutel niet in client-side JavaScript, mobiele app-bundles, publieke repos, analytics-events of logs.

Huidige scopes

De eerste versie documenteert deze scopes:

• models:read
• generations:create
• generations:read
• files:create
• files:read
• credits:read
• webhooks:manage
• chat:create
• chat:read

Nieuwe sleutels die in Settings worden aangemaakt, bevatten standaard de gedocumenteerde scopes. Oudere sleutels moeten mogelijk opnieuw worden aangemaakt voordat je Files API, API Webhooks of Chat API gebruikt.

Intrekken en roteren

Als een sleutel is blootgesteld:

1. Trek de oude sleutel in via Settings.
2. Maak een nieuwe sleutel aan.
3. Werk je server-side secret bij.
4. Bevestig dat de nieuwe sleutel werkt met GET /api/v1/credits.
5. Verwijder de oude sleutel uit buildsystemen, logs en deploymentvariabelen.

Ingetrokken sleutels retourneren api_key_revoked.

Authenticatiefouten

Veelvoorkomende authenticatiefouten:

• api_key_missing
• api_key_invalid
• api_key_revoked
• api_key_expired
• api_scope_denied
• public_api_disabled

Zie API-fouten en limieten voor de volledige publieke foutentabel.

Gerelateerde pagina's

• API-snelstart
• API-credits
• API-fouten en limieten
• Authenticatie en toegang in Rivya