当应用需要在浏览器或移动端等不可信环境中调用模型服务时,通过安全的后端服务生成临时 API Key,避免暴露永久 API Key。
临时 API Key 会继承创建它的 API Key 的权限,例如模型访问限制。
前提条件
在 API Key 页面创建永久 API Key,并设置 DASHSCOPE_API_KEY 环境变量。详见配置 API Key。
请求示例
临时 API Key 默认 60 秒后过期,可通过 expire_in_seconds 设置 1 到 1,800 秒的有效期。
curl -X POST "https://dashscope.aliyuncs.com/api/v1/tokens?expire_in_seconds=1800" \
-H "Authorization: Bearer $DASHSCOPE_API_KEY"
响应示例
成功响应
{
"token": "st-****",
"expires_at": 1744080369
}
成功响应参数
| 参数 | 类型 | 说明 | 示例 |
|---|
| token | String | 临时 API Key。 | st-**** |
| expires_at | Number | 过期时间,UNIX 时间戳(秒)。 | 1744080369 |
错误响应
{
"code": "InvalidApiKey",
"message": "Invalid API-key provided.",
"request_id": "902fee3b-f7f0-9a8c-96a1-6b4ea25af114"
}
错误响应参数
| 参数 | 类型 | 说明 | 示例 |
|---|
| code | String | 错误码,详见错误信息说明。 | InvalidApiKey |
| message | String | 错误信息。 | Invalid API-key provided. |
| request_id | String | 请求 ID。 | 902fee3b-f7f0-9a8c-96a1-6b4ea25af114 |
FAQ
能否手动删除临时 API Key?
不能。临时 API Key 到期后自动失效,无法手动删除。 
