← 開發者指南

選擇您的認證模式

認證 SDK 的兩種方式 — 判斷您需要 API 金鑰還是 session JWT 的決策樹。

SDK 支援兩種認證模式。選擇哪一種取決於呼叫 SDK 的程式碼實際在哪裡執行 — 而不是哪一種比較方便。

決策樹

這段程式碼是否在您的伺服器上執行(Node.js backend、cron job、內部服務)? → 使用 API 金鑰模式。將您的金鑰以 apiKey 傳入。請參見 取得您的 API 金鑰

const ai = new Quravin({
  endpoint: process.env.QURAVIN_URL,
  apiKey:   process.env.QURAVIN_KEY,   // 來自您的 secrets 儲存庫 — 切勿提交進版控
});

這段程式碼是否在使用者的瀏覽器中執行? → 使用 session JWT 模式。您的伺服器為每位使用者發行短效 token,並傳給頁面 — 瀏覽器永遠看不到 client_secret 或靜態的 API 金鑰。

const ai = new Quravin.Quravin({
  endpoint: "https://api.example.com/ai-pipeline",
  sessionToken: await fetchToken(),   // 來自您自己的 backend endpoint
  onTokenExpired: fetchToken,          // 401 時自動更新
});

為什麼這很重要

API 金鑰是一種持有即生效的憑證 — 任何從您頁面原始碼讀到它的人,都能完全存取您的應用程式所能做的 一切。session JWT 則限定給單一使用者,數分鐘內就會過期,並且每次載入頁面時都由您自己的伺服器重新 發行。

經驗法則: 如果程式碼會送到瀏覽器執行,它需要的是 session JWT,而不是 API 金鑰。

下一步:整合到您自己的伺服器 展示了發行 session JWT 的 token 發行 endpoint。