API Key 鉴权
税鹰眼数据开放平台使用 API Key 进行身份验证。所有 Developer API 请求必须在 HTTP 头中携带有效的 API Key。
认证方式
在每个请求的 Header 中添加:
X-API-Key: ek_live_xxxxxxxxxxxxxxxxxxxx
密钥类型
| 类型 | 前缀 | 用途 |
|---|---|---|
| 生产密钥 | ek_live_ | 正式环境,数据持久化 |
| 测试密钥 | ek_test_ | 开发/测试,数据可清理 |
密钥管理
创建密钥
在控制台 开放平台 → 凭证管理 页面创建。每个密钥可配置名称,便于识别用途(如"ERP 同步"、"测试环境")。
撤销密钥
如密钥泄露,立即在控制台撤销。撤销后:
- 使用该密钥的请求将返回
401 Unauthorized - 已创建的报告和分析结果不受影响
安全最佳实践
推荐做法
- 环境隔离 — 生产和测试使用不同密钥
- 定期�轮换 — 每 90 天轮换一次密钥
- 安全存储 — 使用环境变量或密钥管理服务,不要硬编码
- 监控审计 — 在控制台查看 API 调用日志,发现异常及时处理
错误响应
鉴权失败时的响应:
// 401 - 密钥无效或已撤销
{
"detail": "Invalid or revoked API key"
}
速率限制
API 请求受速率限制保护,超出限制时返回 429 Too Many Requests:
HTTP/1.1 429 Too Many Requests
Retry-After: 60
建议在客户端实现指数退避重试逻辑。