认证
通过 X-Api-Key 请求头传入 API 密钥来认证请求。
curl -H "X-Api-Key: mp_xNjQSmdi_q2b7QBo..." \
"https://lite-dev.palmnet.co/v1/orgs/{orgId}/orders"
创建密钥
- 在管理后台,前往 设置 → API 密钥。
- 点击 创建 API 密钥,填写描述性名称。
- 立即复制密钥。
注意
完整密钥仅显示一次。请安全保存,之后无法再次查看。
密钥格式
密钥格式为 mp_<prefix>_<secret>:
| 部分 | 说明 |
|---|---|
mp_ | 固定前缀,标识 Palm API 密钥 |
<prefix> | 8 字符标识符,在管理界面中可见,用于识别密钥 |
<secret> | 随机密钥(服务端不存储明文) |
权限范围
每个密钥绑定了一组权限范围,控制可访问的接口。
| Scope | 授权的接口 |
|---|---|
orders:read | 订单列表、订单详情 |
调用超出权限范围的接口将返回 403 Forbidden。
吊销密钥
在 设置 → API 密钥 中点击密钥旁的删除操作即可吊销。吊销后该密钥立即失效。
错误响应
| 状态码 | 含义 |
|---|---|
401 | 缺少、格式错误或已吊销的 API 密钥 |
403 | 密钥有效但权限不足,或 orgId 不匹配 |
{
"error": "invalid api key",
"request_id": "req-abc123"
}