认证鉴权

不同系列接口的鉴权请求头略有差异。文本、图片和视频系列通常使用 Bearer Token;审核系列使用访问令牌和请求跟踪 ID。

文本、图片、视频系列

文本、图片和视频系列在请求头中携带 Authorization 
Authorization: Bearer YOUR_API_KEY
其中:
  • Authorization 是标准 HTTP 认证请求头
  • Bearer 是固定前缀,表示当前使用 Bearer Token
  • YOUR_API_KEY 需要替换为你的真实密钥
如果缺少 Bearer 前缀、密钥为空,或请求头名称拼写错误,服务端通常会直接拒绝请求。

审核系列

素材审核、海外素材送审和真人素材授权接口使用下面的请求头: 
Base URL: https://identity.xmsmartlink.com

X-Access-Token: YOUR_ACCESS_TOKEN
X-Track-Id: 0123456789abcdef0123456789abcdef
其中:
  • X-Access-Token 是平台分配的访问令牌
  • X-Track-Id 是请求跟踪 ID,建议每次请求唯一
  • 请求体为 JSON 时仍需要传 Content-Type: application/json

调用示例

下面的示例展示了如何调用聊天补全接口: 
curl --request POST 'https://vip.xmsmartlink.com//v1/chat/completions' \
  --header 'Content-Type: application/json' \
  --header 'Authorization: Bearer YOUR_API_KEY' \
  --data '{
    "model": "gpt-4o-mini",
    "messages": [
      {
        "role": "user",
        "content": "你好,请用一句话介绍 Bearer Token 的作用。"
      }
    ]
  }'
当返回 200 OK 且响应体中包含模型输出时,说明认证和接口调用都已成功。

常见问题

401 Unauthorized

通常表示认证信息无效,常见原因包括:
  • 没有传 Authorization 请求头
  • 没有使用 Bearer 前缀
  • API Key 填写错误、已失效或被撤销
  • 请求被代理或中间层改写,导致认证头丢失
  • 审核系列缺少 X-Access-Token 或访问令牌无效

403 Forbidden

通常表示服务端识别了你的身份,但当前密钥没有权限访问目标资源,常见原因包括:
  • 当前 Key 不具备对应模型或接口的访问权限
  • 账号或密钥被平台限制
  • 访问了不允许使用的入口或能力范围
建议先确认 Key 是否可用,再检查接口权限和账号状态。

安全建议

  • 不要在前端代码、移动端安装包或浏览器脚本中直接暴露 API Key
  • 不要把 API Key、访问令牌或完整鉴权请求头提交到 Git 仓库、公开代码托管平台或日志系统中
  • 建议通过后端服务转发请求,在服务端安全保存密钥
  • 如果怀疑密钥泄露,应立即更换或吊销原有 Key