Authentication
2.1 用户侧鉴权(X-User-Token)
Header:
X-User-Token: <user_token>
业务口径:
- 对“受保护用户接口”是业务必填(如
/api/v1/ai/me,/api/v1/ai/chat/send,/api/v1/ai/events)。 - 对“公开读取接口”可选或不需要(如
/api/v1/news/hot,/api/v1/news/topics)。
测试环境 Demo Token(仅 Staging):
demo-user-tokendemo_user_tokendemo
2.2 后台鉴权(X-Console-Token)
Header:
X-Console-Token: <console_token>
业务口径:
- Admin/Ops/Knowledge/News 后台接口均业务必填。
- 该 Token 不应暴露给外部用户。
2.3 平台接入鉴权(预留)
规划方向:
- 交易所登录态透传(
exchange_user_id+session_token) - 平台鉴权服务校验会话
- 按用户实际权限返回积分/额度
2.4 鉴权失败示例
401(用户未登录):
{"code":401,"detail":"请先登录后使用 AI 功能"}
403(控制台未授权):
{"code":403,"detail":"控制台未授权"}
2.5 鉴权相关错误码
- HTTP
401: 缺失或无效X-User-Token - HTTP
403: 缺失或无效X-Console-Token - 业务
1001(UNAUTHORIZED)用于统一错误映射