Name1 API
Name1 API 文档
面向真实上线场景的 Name1 文档中心:创建 API令牌、完成人工充值、替换 base_url,并通过 OpenAI 兼容协议调用 /v1/chat/completions。
OpenAI SDK 兼容
现有项目通常只需要替换 base_url 和 API令牌 即可接入。
令牌级治理
支持额度限制、模型白名单、IP 白名单和过期时间。
人工充值
当前未接自动支付,由管理员确认后手动入账。
POST /v1/chat/completions
curl https://your-domain.com/v1/chat/completions \
-H "Authorization: Bearer sk-n1_xxx" \
-H "Content-Type: application/json" \
-d '{
"model": "gpt-4o-mini",
"messages": [
{ "role": "user", "content": "Hello Name1" }
],
"stream": false
}'生产安全
安全
Name1 的安全策略围绕 令牌 存储、会话、权限、日志和上游密钥隔离设计。
API令牌 hash 存储
完整 令牌 不入库,仅保存 HMAC-SHA256 hash 与前缀。
API_KEY_HASH_PEPPER
使用强随机 pepper 参与 令牌 hash,生产环境必须安全保存。
HttpOnly Cookie
登录会话通过 HttpOnly Cookie 降低脚本读取风险。
JWT session
JWT_SECRET 必须使用强随机值,避免复用默认值。
Admin 权限保护
管理后台仅管理员可见,普通用户不能访问 Admin 功能。
用户数据隔离
普通用户只能查看自己的 令牌、余额、订单和调用日志。
不保存完整令牌
令牌 创建后无法恢复完整明文,只能重新生成。
不暴露上游 令牌
UPSTREAM_API_KEY 只在服务端使用,不出现在页面和接口响应中。
Prompt 不写 UsageLog
调用日志记录模型、tokens、费用、状态和延迟,不保存 messages 内容。
IP 白名单
按 令牌 限制允许访问的来源 IP 或 CIDR。
CORS ALLOWED_ORIGINS
生产环境应限制浏览器允许来源,避免使用过宽配置。
请求大小限制
MAX_REQUEST_BODY_BYTES 用于限制过大的请求体。
上游超时
UPSTREAM_TIMEOUT_MS 控制等待上游响应的最长时间。
内存限流
当前限流为内存实现,单实例可用,多实例生产应改为共享存储。
用 Name1 管理你的 AI API 调用
创建 API令牌,完成余额充值,替换 base_url,然后用 OpenAI SDK 或 cURL 发起第一条请求。