认证
wrouter 使用 Bearer Token 认证。
获取 Token
参见 API Token 管理。
Token 是形如 sk- 加 40 位随机字符的字符串:
sk-vN8x9...HJ3kQpZ在请求中使用
HTTP Header
所有 OpenAI / Anthropic / Gemini 兼容接口均通过 Authorization 头携带:
Authorization: Bearer sk-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxAnthropic 原生兼容
调用 /v1/messages 时也支持 Anthropic 风格的 x-api-key:
x-api-key: sk-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
anthropic-version: 2023-06-01Gemini 原生兼容
调用 /v1beta/models/{model}:generateContent 时可使用:
x-goog-api-key: sk-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx或将 key 放在 query string:
?key=sk-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx错误响应
| HTTP | 含义 |
|---|---|
| 401 | 缺失 Token 或 Token 无效 / 已禁用 / 已过期 |
| 403 | Token 没有权限调用该模型,或 IP 不在白名单 |
| 429 | 达到限流阈值,请求过频 |
详见 错误码。
安全建议
- 永不写入仓库:使用环境变量
WROUTER_API_KEY,并加入.gitignore - 不在前端暴露:浏览器/移动端通过你的后端代理转发,不要把
sk-嵌入打包产物 - 最小权限:为不同应用建独立 Token,限制模型与额度
- 绑定 IP:生产服务器配置 IP 白名单
- 定期轮换:90 天轮换一次
- 泄露处理:立即删除该 Token 并重新签发;账户余额可能已被消耗