選擇您的認證模式
認證 SDK 的兩種方式 — 判斷您需要 API 金鑰還是 session JWT 的決策樹。
SDK 支援兩種認證模式。選擇哪一種取決於呼叫 SDK 的程式碼實際在哪裡執行 — 而不是哪一種比較方便。
決策樹
這段程式碼是否在您的伺服器上執行(Node.js backend、cron job、內部服務)?
→ 使用 API 金鑰模式。將您的金鑰以 apiKey 傳入。請參見 取得您的 API
金鑰。
const ai = new Quravin({
endpoint: process.env.QURAVIN_URL,
apiKey: process.env.QURAVIN_KEY, // 來自您的 secrets 儲存庫 — 切勿提交進版控
});
這段程式碼是否在使用者的瀏覽器中執行?
→ 使用 session JWT 模式。您的伺服器為每位使用者發行短效 token,並傳給頁面 — 瀏覽器永遠看不到
client_secret 或靜態的 API 金鑰。
const ai = new Quravin.Quravin({
endpoint: "https://api.example.com/ai-pipeline",
sessionToken: await fetchToken(), // 來自您自己的 backend endpoint
onTokenExpired: fetchToken, // 401 時自動更新
});
為什麼這很重要
API 金鑰是一種持有即生效的憑證 — 任何從您頁面原始碼讀到它的人,都能完全存取您的應用程式所能做的 一切。session JWT 則限定給單一使用者,數分鐘內就會過期,並且每次載入頁面時都由您自己的伺服器重新 發行。
經驗法則: 如果程式碼會送到瀏覽器執行,它需要的是 session JWT,而不是 API 金鑰。
下一步:整合到您自己的伺服器 展示了發行 session JWT 的 token 發行 endpoint。