Xác thực
Cách API key hoạt động — môi trường, xoay vòng, thu hồi.
Mọi request được bảo vệ đều phải bao gồm header X-API-Key.
Định dạng key
Key trông giống như:
envlàlivecho lưu lượng production hoặctestcho SANDBOX.- Chỉ 12 ký tự đầu tiên (
gdk_live_xxxx) được hiển thị trong dashboard sau khi tạo — key đầy đủ chỉ hiện ra một lần tại thời điểm tạo. Hãy lưu nó ở nơi an toàn.
Về phía nội bộ, chúng tôi chỉ lưu một hash SHA-256 của key, nên chúng tôi không bao giờ có thể khôi phục giá trị thô nếu bạn làm mất nó.
Giới hạn theo gói
Mỗi gói có số lượng key đang hoạt động tối đa:
| Gói | Key đang hoạt động |
|---|---|
| FREE | 2 |
| PRO | 10 |
| ENTERPRISE | không giới hạn |
Các key đã thu hồi không tính vào giới hạn.
Môi trường
| Môi trường | Khi nào dùng |
|---|---|
LIVE | Lưu lượng production, được tính phí theo gói của bạn. |
SANDBOX | Testing và CI. Cùng các route, bộ đếm hạn mức riêng biệt. |
Xoay vòng (Rotation)
Hãy đối xử với key như mật khẩu. Xoay vòng định kỳ bằng cách tạo một key mới, triển khai nó, rồi thu hồi key cũ. Mặc định không có thời hạn hết hạn — bạn kiểm soát vòng đời từ trang API keys.
Thu hồi (Revocation)
Thu hồi một key sẽ đặt isActive = false ở phía server. Redis cache cho key đó
bị vô hiệu hóa ngay lập tức, nên request tiếp theo sẽ trả về 401 REVOKED_API_KEY
trong vòng vài giây.
Demo endpoint (không cần key)
Trang chủ cung cấp /v1/demo/suggest, một route không cần xác thực được
rate-limit theo IP ở mức 30 requests/phút. Chỉ dùng nó cho mục đích demo
marketing — lưu lượng production phải dùng key thật.