获取 API Key
调用 API 前需要先获取 API Key:
- 登录 bizyair.ai
- 进入 API Keys
- 点击 创建新 Key,输入别名(如
production / dev-local)
- 复制生成的 Key(仅显示一次,请妥善保存)
API Key 是账号的唯一凭据,泄露后他人可消耗你的账户余额。切勿提交到 Git、写入前端代码或分享到公开渠道。
请求认证
所有 API 请求需在 HTTP Header 中携带 Authorization 字段:
Authorization: Bearer $BIZYAIR_API_KEY
示例:
curl -H "Authorization: Bearer $BIZYAIR_API_KEY" \
"https://api.bizyair.ai/x/v1/user/metadata"
如 Key 缺失或无效,返回 401:
{"error": "UNAUTHORIZED", "code": "401", "message": "缺少认证信息"}
通用请求头
以下请求头适用于所有调用方式,部分 Header 用于控制调用模式:
| 请求头 | 必填 | 说明 |
|---|
Authorization | ✅ 是 | Bearer $BIZYAIR_API_KEY 格式 |
Content-Type | ✅ 是(POST/PUT) | 固定 application/json |
X-Bizyair-Task-Async | ❌ 否 | 设为 enable 启用异步查询模式 |
X-BizyAir-Task-WebHook-Url | ❌ 否 | 设置回调 URL 启用 WebHook 模式 |
X-BizyAir-Task-Authorization | ❌ 否 | 自定义回调请求的 Authorization 头,用于验证回调来源 |
X-Bizyair-Task-* | ❌ 否 | 任何以此前缀开头的 Header 会原样透传到 WebHook 回调请求中 |
当同时设置 X-Bizyair-Task-Async: enable 与 X-BizyAir-Task-WebHook-Url 时,WebHook 模式优先,异步查询标识被忽略。
安全最佳实践
| 场景 | 推荐做法 | 禁忌 |
|---|
| 服务端 | 存入环境变量 / 密钥管理服务 | ❌ 写入源码 |
| 前端(浏览器) | 通过你自己的后端代理转发 | ❌ 直接放入 fetch 请求头 |
| 移动端 | 通过你自己的后端中转 | ❌ 打包进 App 二进制 |
| 开源项目 | 用 .env 文件 + .gitignore | ❌ 提交 .env 到仓库 |
| 团队协作 | 每人独立 Key,定期轮换 | ❌ 共用同一个 Key |
| 怀疑泄露 | 立即在个人中心禁用并创建新 Key | ❌ 期望没人发现 |