OpenAI Compatible API 鉴权怎么做:API Key、Header 和权限控制
如果你准备把 OpenAI Compatible API 放到公网,最先要处理的不是模型,而是鉴权。
1. 最少要有 API Key
用 API Key 做基础身份识别最简单,也最适合起步阶段。每个客户、团队或项目最好单独发一把。
2. 请求头要统一
通常用 `Authorization: Bearer ...` 最容易兼容现有客户端。不要让不同入口走不同口径。
3. 权限要分层
同一个 Key 不一定应该有同样权限。读写分开、测试和生产分开、内部和外部分开,能少很多事故。
4. 轮换要容易
Key 不能只生成不能换。支持双 Key 过渡、失效时间和日志追踪,才方便安全发布。
结论
鉴权做得好,后面限流、计费和审计才有基础。先把入口收紧,再谈规模。