Authentifizierung
Authentifizieren Sie sich mit dem nach der Zahlung gelieferten API-Schlüssel.
Verwenden Sie nach der manuellen Einrichtung-Bereitstellung den OpenAI-kompatiblen API-Schlüssel und die Basis-URL aus vertrauenswürdigem serverseitigem Code. Halten Sie Anmeldeinformationen von Anwendungen fern und rotieren oder widerrufen Sie dann bereichsbezogene Schlüssel, ohne damit nicht zusammenhängende Dienste zu unterbrechen.
Zuletzt aktualisiert: July 12, 2026. Examples Nutzung safe placeholders und tun nicht enthalten real credentials oder customer Daten.
Serverseitige Regel
Behandeln Sie bereitgestellte API-Schlüssel wie Produktionsanmeldeinformationen. Bewahren Sie sie in vertrauenswürdigen Serverumgebungen auf und rufen Sie Ihr eigenes Backend über Browser oder mobile Apps auf.
Einrichtung-Pfad
Sechs Schritte von der manuellen Lieferung bis zur sicheren Drehung.
Step 1
Empfangen Sie das API-Einrichtung
Schließen Sie die Paketzahlung ab und warten Sie 10 Minuten bis 5 Stunden, bis der Administrator den API-Schlüssel, die Basis-URL, die Einrichtung-Dateien, das Aktivierungsdatum, das Startdatum und das Enddatum erhält.
Step 2
Erstellen Sie einen Schlüssel mit Gültigkeitsbereich
Behalten Sie nach der Bereitstellung des Einrichtungen den bereitgestellten Schlüssel serverseitig bei oder erstellen Sie einen bereichsbezogenen Schlüssel für einen Dienst, eine Umgebung und die kleinsten Endpunktbereiche, die der Dienst benötigt.
Step 3
Speichern Sie es serverseitig
Speichern Sie den vollständigen Wert in einer Secret Manager- oder Bereitstellungsumgebungsvariablen. Versenden Sie es nicht an Browser oder mobile Anwendungen.
Step 4
Senden Sie einen Bearer-Token
Hängen Sie den Schlüssel im Authorization-Header für jede serverseitige Anfrage an die bereitgestellte OpenAI-kompatible API-Basis-URL an.
Step 5
Beobachten Sie Authentifizierungsfehler
Verwenden Sie stabile Fehlercodes, um fehlende Schlüssel, inaktive Schlüssel, abgelaufene Schlüssel, IP-Richtlinienfehler und fehlende Bereiche zu unterscheiden.
Step 6
Rotieren Sie, bevor das Risiko wächst
Erstellen Sie einen Ersatzschlüssel, stellen Sie ihn bereit, bestätigen Sie die Verkehrsbewegungen und widerrufen Sie dann den alten Schlüssel.
API Schlüsselformat
Schlüssel identifizieren Umgebung und geheimes Material getrennt.
Der manuell übermittelte API-Schlüssel kommt nur per E-Mail an. Schlüssel für den Self-Service-Bereich beginnen mit dem Präfix unlimitedcodex, enthalten ein Umgebungssegment und enden mit generiertem geheimem Material. Ihr voller Wert wird einmalig bei der Erstellung angezeigt.
| Segment | Beispiel | Zweck |
|---|---|---|
| Präfix | ucx | Identifiziert den Wert als unlimitedcodex API Schlüssel. |
| Umwelt | Entwickeln, testen oder live | Hält lokale, Staging- und Produktionsanmeldeinformationen getrennt. |
| Geheimer Wert | Generierter Zufallswert | Wird bei der Erstellung einmal angezeigt und dann als sicherer Hash gespeichert. |
| Präfix anzeigen | Erste sichere Charaktere | Wird in Protokollen und Kontrollbereiche verwendet, um einen Schlüssel zu identifizieren, ohne die vollständigen Anmeldeinformationen preiszugeben. |
Use placeholders such as ucx_live_placeholder_value in Dokumente und tests. Niemals einfuegen a real Schluessel in examples, Problem trackers, analytics, oder Kundendienst messages.
Nutzung des Inhabertokens
Senden Sie den Schlüssel im Authorization-Header.
Serverseitige Aufrufer sollten den übermittelten oder bereichsbezogenen Schlüssel aus einer Umgebungsvariablen lesen und ihn als Bearer-Token bei jeder API-Anfrage senden.
Verwenden Sie HTTPS für alle API-Anfragen.
Senden Sie den vollständigen Schlüssel nur im Autorisierungsheader.
Halten Sie Inhaltstyp-Header von der Authentifizierung getrennt.
Geben Sie bereinigte Fehler an Clientanwendungen zurück.
# Server-side environment only UCX_API_KEY=ucx_live_placeholder_value
const response = await fetch("https://unlimitedcodex.com/v1/models", {
method: "GET",
headers: {
Authorization: `Bearer ${process.env.UCX_API_KEY}`
}
});
if (!response.ok) {
const error = await response.json();
throw new Error(error.error?.code ?? "api_request_failed");
}Umgebungsvariablen
Halten Sie Anmeldeinformationen von Anwendung-Bundles fern.
Die bereitgestellten API-Schlüssel gehören zu Backend-Prozessen, serverlosen Funktionen und sicheren Workern. Der Browsercode sollte Ihr Backend aufrufen, nicht unlimitedcodex direkt.
Lokale Entwicklung
Verwenden Sie einen Entwicklungs- oder Testschlüssel in einer nur lokalen Env-Datei, die von Git ignoriert wird.
Vorschau der Bereitstellungen
Verwenden Sie einen separaten Vorschauschlüssel, damit sich der Staging-Datenverkehr nicht auf die Produktionsanmeldeinformationen auswirken kann.
Produktionsserver
Verwenden Sie den verschlüsselten Umgebungsspeicher Ihres Hosting-Anbieters oder einen speziellen Secret Manager.
Anwendung-Anwendungen
Machen Sie API-Schlüssel nicht in Frontend-Umgebungsvariablen, Browserspeicher, mobilen Bundles oder statischen Dateien verfügbar.
Schlüsseldrehung
Drehen Sie, indem Sie zuerst hinzufügen und dann widerrufen.
Vermeiden Sie Produktionsunterbrechungen, indem Sie einen Ersatzschlüssel bereitstellen, bevor Sie den alten widerrufen. Verwenden Sie Anzeigepräfixe und Anforderungsprotokolle, um die Umstellung zu bestätigen.
# Rotation checklist 1. Create a replacement key with the same required scopes. 2. Save it as the next server-side environment value. 3. Deploy the service and confirm traffic uses the new prefix. 4. Revoke the old key after traffic has moved. 5. Monitor 401 and 403 responses for stale deployments.
Häufige Authentifizierungsfehler
Lesen Sie den Status und den Fehlercode, bevor Sie es erneut versuchen.
Bei Authentifizierungsfehlern werden stabile Antwortcodes verwendet, damit Ihre Integration fehlende Anmeldeinformationen von Problemen mit Umfang, Status, Zulassungsliste und Verifizierung unterscheiden kann.
| Status | Code | Gemeinsame Ursache | Nächste Aktion |
|---|---|---|---|
| 401 | invalid_api_key | Der Autorisierungsheader fehlt, ist fehlerhaft oder enthält einen unbekannten Schlüssel. | Überprüfen Sie das Bearer-Token, den Namen der Umgebungsvariablen und das Bereitstellungsgeheimnis. |
| 403 | inactive_api_key | Der Schlüssel existiert, ist aber nicht aktiv. | Verwenden Sie einen aktiven Schlüssel oder erstellen Sie einen Ersatzschlüssel für den Dienst. |
| 403 | abgelaufener_api_key | Der Schlüssel hat seine Ablaufzeit überschritten. | Rotieren Sie die Anmeldeinformationen und stellen Sie den neuen Wert bereit. |
| 403 | ip_not_allowed | Die Anfrage kam von einer IP-Adresse außerhalb der Schlüssel-Zulassungsliste. | Aktualisieren Sie die Zulassungsliste oder senden Sie Datenverkehr von einem genehmigten Server. |
| 403 | unzureichender_Bereich | Der Schlüssel enthält nicht den vom Endpunkt benötigten Bereich. | Erstellen oder aktualisieren Sie einen Schlüssel mit dem spezifischen Bereich, den Ihr Endpunkt benötigt. |
| 503 | api_key_store_unavailable | Die datenbankgestützte Schlüsselüberprüfung ist vorübergehend nicht verfügbar oder nicht konfiguriert. | Versuchen Sie es bei vorübergehenden Fehlern später noch einmal oder überprüfen Sie die Umgebungskonfiguration in Nicht-Produktionsumgebungen. |
Empfohlene Sicherheitspraktiken
Entwerfen Sie eine Authentifizierung zur Eindämmung.
Eine gute Schlüsselstrategie begrenzt den Explosionsradius von Fehlern. Trennen Sie Umgebungen, Bereiche, Dienste und Eigentümer, sodass ein Schlüssel nie mehr Zugriff hat, als er benötigt.
Verwenden Sie separate Schlüssel für Entwicklung, Staging und Produktion.
Erstellen Sie einen Schlüssel pro Dienst, damit Rotation und Widerruf gezielt erfolgen.
Gewähren Sie nur die Endpunktbereiche, die der Dienst benötigt.
Halten Sie Schlüssel aus clientseitigem Code, mobilen Apps, Protokollen und öffentlichen Repositorys fern.
Speichern Sie den vollständigen Schlüssel in einer Secret Manager- oder Bereitstellungsumgebungsvariablen.
Tauschen Sie die Schlüssel nach einem Zeitplan und unmittelbar nach einer vermuteten Exposition aus.
FAQ
Fragen zur Authentifizierung.
Erhalte ich sofort nach dem Bezahlen einen API-Schlüssel?
Nein. Die Einrichtung wird nach der Zahlung manuell vorbereitet. Die voraussichtliche Lieferzeit beträgt 10 Minuten bis 5 Stunden und umfasst den API-Schlüssel, den Basis-URL, Einrichtung-Dateien, das Aktivierungsdatum, das Startdatum und das Enddatum.
Wo soll ich einen API-Schlüssel speichern?
Speichern Sie den vollständigen Schlüssel in einem serverseitigen Secret Manager oder einer Bereitstellungsumgebungsvariablen. Platzieren Sie es niemals im Browsercode, in mobilen Apps, in öffentlichen Repositorys oder in einer für den Anwendung sichtbaren Konfiguration.
Kann ich einen echten API-Schlüssel in kostenlose Tools oder Supportformulare einfügen?
Nein. Verwenden Sie Platzhalter oder bereinigte Beispiele in kostenlosen Tools, Supportformularen, Issue-Trackern, Analysen und freigegebenen Protokollen. Halten Sie vollständige API-Schlüssel, Autorisierungsheader, Abrechnungs-Screenshots, sensible Nutzlasten und regulierte Daten von öffentlichen oder halböffentlichen Oberflächen fern.
Kann ich einen vollständigen API-Schlüssel nach der Erstellung anzeigen?
Nein. Der manuell übermittelte API-Schlüssel kommt nur per E-Mail. Schlüssel für den Self-Service-Bereich werden einmal bei der Erstellung angezeigt; Danach verwenden Sie das sichere Anzeigepräfix, während die Plattform einen sicheren Hash speichert.
Welche Bereiche kann ein Schlüssel nutzen?
API-Schlüssel können für chat:write, embeddings:write, images:write und verwenden:read festgelegt werden. Gewähren Sie den kleinsten Bereichssatz, der für den Dienst erforderlich ist.
Wie rotiere ich einen Produktionsschlüssel?
Erstellen Sie einen Ersatzschlüssel mit den erforderlichen Bereichen, stellen Sie ihn als neuen serverseitigen Umgebungswert bereit, bestätigen Sie, dass der Datenverkehr das neue Präfix verwendet, und widerrufen Sie dann den alten Schlüssel.
Kostenlose Tools
Probieren Sie diese vor Ihrer ersten Live-Anfrage aus
Clientseitige Helfer für Migration, Validierung, Kontingentplanung und 429-Fehlerbehebung.
Migrationsgenerator
Generieren oder transformieren Sie OpenAI SDK-Snippets in unlimitedcodex Basis-URL, Schlüssel und Bereiche.
Validator anfordern
Validieren Sie Chat, Einbettungen und Bildnutzlasten JSON anhand unlimitedcodex OpenAI-kompatibler Regeln.
429-Decoder
Fügen Sie einen 429-Antworttext und Header ein, um Ratenbegrenzung und Kontingentdruck zu klassifizieren und die Anleitung für Wiederholungsversuche anzuzeigen.
Scope-Konfigurator
Wählen Sie Workloads und Ausgabebereiche mit den geringsten Rechten,.env.example und eine Rotationscheckliste aus.
Ratenlimit-Planer
Planen Sie Backoff-Einstellungen und eine Checkliste zur Quotenüberwachung anhand der erwarteten RPS und Teamgröße.
Naechster Schritt
Kombinieren Sie Authentifizierung mit Kontingent- und Fehlerbehandlung.
Sobald die Schlüssel serverseitig und bereichsübergreifend sind, überprüfen Sie die unbegrenzte Token-Nutzung, 4 gleichzeitige Verbindungen, häufige API-Fehler und die Einrichtung des Webhook-Endpunkts, bevor der kundenseitige Datenverkehr zunimmt.