概覽
帳獸使用 Bearer Token 認證 API 請求。每個商家同時只能持有一把有效的 API Token。你可以在後台的金鑰管理頁面(導覽列 🔑 圖示)進行 Token 管理。建立新金鑰
1
進入金鑰管理頁面
登入後台,點擊導覽列的 🔑 圖示進入金鑰管理頁面。
2
建立金鑰
點擊建立新金鑰按鈕。
3
複製 Token
系統會產生一組 API Token 並顯示在頁面上。
Token 屬性
重新生成金鑰
如果你需要更換 Token(例如 Token 可能外洩),可以重新生成:1
進入金鑰管理頁面
點擊導覽列的 🔑 圖示。
2
重新生成
點擊重新生成金鑰按鈕。
3
確認操作
輸入確認文字以確認操作。
4
複製新 Token
複製並保存新產生的 Token。
撤銷金鑰
如果你不再需要 API 存取,可以撤銷 Token:- 進入金鑰管理頁面
- 點擊撤銷金鑰
- 輸入確認文字以確認操作
Token 權限
每個 Token 包含以下 abilities(權限),控制可存取的 API 資源:目前建立的 Token 預設包含所有權限。未來版本可能支援自訂權限範圍。
角色權限
後台操作金鑰管理的權限依角色而異:使用 Token
在所有 API 請求中,將 Token 放入Authorization 標頭:
安全最佳實踐
使用環境變數儲存 Token
使用環境變數儲存 Token
不要將 Token 直接寫在程式碼中,使用環境變數管理:
.env
限制 Token 曝露範圍
限制 Token 曝露範圍
- 不要將 Token 提交到版本控制(Git)
- 不要在前端程式碼中使用 Token
- 不要在日誌中記錄完整 Token
- 將
.env加入.gitignore
定期輪換 Token
定期輪換 Token
建議定期重新生成 Token,特別是在以下情況:
- 團隊成員離職
- Token 可能已外洩
- 安全稽核要求
監控 API 使用情況
監控 API 使用情況
定期檢查 API 請求日誌,留意異常的存取模式。如果發現可疑活動,立即重新生成或撤銷 Token。
下一步
API 認證
了解 API 認證的技術細節。
快速開始
使用 Token 發出你的第一個 API 請求。