API 鉴权
使用 Bearer API Key 鉴权 Rivya API 请求,理解权限范围、一次性展示、禁用和轮换。
最近审阅于 2026/05/10
Rivya API 使用 API Key 做服务端到服务端访问。
API Key 不等于浏览器登录态。不要把 cookie、Better Auth session 或个人浏览器 token 当成公开 API 凭据。
Header 格式
把 key 放在 Authorization header:
Authorization: Bearer rvya_sk_...完整 key 只会在创建时展示一次。Rivya 保存 hash 和可见 prefix,不保存完整密钥。
创建 Key
- 登录 Rivya。
- 打开 API Keys 设置。
- 按需要的 scope 创建 key。
- 立即复制完整 key。
- 保存到服务端 secret manager 或环境变量中。
不要把 key 放进客户端 JavaScript、移动端包、公开仓库、analytics 事件或日志。
当前 Scope
首版文档说明这些 scope:
models:readgenerations:creategenerations:readfiles:createfiles:readcredits:readwebhooks:managechat:createchat:read
Settings 中新建的 key 默认包含这些公开 scope。较早创建的 key 可能需要重新创建后才能使用 Files API、API Webhooks 或 Chat API。
禁用和轮换
如果 key 泄漏:
- 在 Settings 禁用旧 key。
- 创建新 key。
- 更新服务端 secret。
- 用
GET /api/v1/credits确认新 key 可用。 - 从构建系统、日志和部署变量中移除旧 key。
被禁用的 key 会返回 api_key_revoked。
鉴权错误
常见鉴权错误:
api_key_missingapi_key_invalidapi_key_revokedapi_key_expiredapi_scope_deniedpublic_api_disabled
完整公共错误表见 API 错误码与限制。