API 驗證
使用 Bearer API key 驗證 Rivya API 請求,並管理權限範圍、一次性密鑰顯示、撤銷與輪換。
最近審閱於 2026/05/10
Rivya API 使用 API key 進行伺服器對伺服器的存取。
API key 不等同於瀏覽器登入工作階段。請不要把 cookie、Better Auth session state 或個人瀏覽器 token 當作公開 API 憑證使用。
Header 格式
在 Authorization header 中傳送 key:
Authorization: Bearer rvya_sk_...完整 key 只會在建立時顯示一次。Rivya 會儲存 hash 和可見 prefix,而不是完整密鑰。
建立 Key
- 登入 Rivya。
- 開啟 API Keys 設定。
- 使用你需要的 scopes 建立 key。
- 立即複製完整 key。
- 將它存放在伺服器端 secret manager 或環境變數中。
不要把 key 放在客戶端 JavaScript、行動應用程式套件、公開 repo、analytics 事件或日誌中。
目前 Scopes
第一版文件記錄了這些 scopes:
models:readgenerations:creategenerations:readfiles:createfiles:readcredits:readwebhooks:managechat:createchat:read
在 Settings 中新建立的 key 預設包含已記錄的 scopes。較早建立的 key 可能需要重新建立,才能使用 Files API、API Webhooks 或 Chat API。
撤銷與輪換
如果 key 外洩:
- 從 Settings 撤銷舊 key。
- 建立新 key。
- 更新伺服器端 secret。
- 使用
GET /api/v1/credits確認新 key 可用。 - 從建置系統、日誌和部署變數中移除舊 key。
已撤銷的 key 會回傳 api_key_revoked。
驗證錯誤
常見驗證錯誤:
api_key_missingapi_key_invalidapi_key_revokedapi_key_expiredapi_scope_deniedpublic_api_disabled
完整公開錯誤表請見 API 錯誤與限制。