开始
认证
使用 API keys 认证请求,遵循安全实践,并处理认证错误。
Felo API Platform 的所有 API 请求都需要使用 API Key 认证。本指南说明如何认证请求,以及如何处理常见认证问题。
API Key 认证
Felo 的 v2 endpoints 使用 API Key 认证。你的 API Key 用于识别应用,并授予访问平台能力的权限。
工作方式
- 从 Felo API Platform API Keys 页面 获取 API Key
- 在每个 API request 的
Authorizationheader 中加入 API Key - 平台验证 API Key 并处理请求
Header 格式
使用 Bearer 认证方案,把 API Key 放入 Authorization header:
Authorization: Bearer YOUR_API_KEY示例请求
curl -X POST https://openapi.felo.ai/v2/chat -H "Authorization: Bearer sk_live_abc123xyz789" -H "Content-Type: application/json" -d '{"query": "What is machine learning?"}'获取 API Key
- 打开 Felo API Platform API Keys 页面
- 如果系统提示,请登录 Felo 账户
- 输入 key 名称并点击 创建 Key
- key 出现后复制完整内容。完整 key 只显示一次
- 安全保存 key,并把它作为
FELO_API_KEY使用
安全最佳实践
1. 安全保存 API Keys
不要把 API Key 硬编码在源代码里:
# Bad - API Key exposed in code
api_key = "sk_live_abc123xyz789"请使用环境变量或安全配置:
# Good - API Key from environment
import os
api_key = os.environ.get('FELO_API_KEY')2. 使用环境变量
Linux/macOS:
export FELO_API_KEY="sk_live_abc123xyz789"Windows PowerShell:
$env:FELO_API_KEY="sk_live_abc123xyz789"3. 定期轮换 Keys
定期生成新 API Keys,并撤销旧 key,以降低安全风险。
4. 为不同环境使用不同 Keys
为 development、staging 和 production 创建不同 API Keys。
5. 不要在客户端暴露 Keys
API Keys 只应在 server-side code 中使用。不要放入 frontend JavaScript、mobile app source code、public repositories 或 client-side config。
认证错误
| Error Code | 说明 | 解决方式 |
|---|---|---|
INVALID_API_KEY | API Key 无效、格式错误或已撤销 | 检查 API Key 是否正确且未被撤销 |
MISSING_AUTHORIZATION | 缺少 Authorization header | 在请求中加入 Authorization header |
MALFORMED_AUTHORIZATION | Authorization header 格式错误 | 使用 Authorization: Bearer YOUR_API_KEY |
EXPIRED_API_KEY | API Key 已过期 | 在 API Keys 页面 生成新 API Key |
RATE_LIMITED | 短时间内请求过多 | 降低请求频率或联系 support 提升限制 |
故障排查
INVALID_API_KEY
可能原因:key 复制错误、key 已撤销,或使用了错误环境的 key。
解决方式:
- 检查 API Key 是否有拼写错误
- 在 API Keys 页面 确认 key 未被撤销
- 确认当前环境使用了正确 key
- 必要时生成新 API Key
MISSING_AUTHORIZATION
确认请求包含 Authorization header,且 header 名称拼写正确。
MALFORMED_AUTHORIZATION
使用精确格式:Authorization: Bearer YOUR_API_KEY。Bearer 后只保留一个空格,不要给 API Key 加引号。
Rate Limiting
Rate limits 按 endpoint 执行,而不是按 API Key 全局执行。是否有限制请查看每个 endpoint 的文档。
当超过限制时,API 会返回 429 Too Many Requests,并带有 X-RateLimit-* headers 和 Retry-After。请始终从 response headers 读取当前有效限制。
需要帮助?
- 仔细检查本指南
- 查看 Getting Started
- 在 API Keys 页面 验证 API Key
- 带上 request ID 联系 [email protected]