策略保护

策略保护用于限制一把 API Key 能从哪里调用、能使用哪些 tier 和模型、最多消耗多少额度。

推荐配置

场景建议
本地开发单独 Key,较小预算,先用 auto
生产后端IP 白名单、明确 tier、预算限制
编码 Agent / IDE独立 Key,较小每日或每周额度
高风险 AgentKey 预算 + 应用侧停止条件
固定生产链路fixed model 或固定 tier

可配置限制

限制作用
IP 白名单 / 黑名单限制请求来源
allowed tiers限制可使用的 economy / standard / premium
fixed model限制只能调用一个模型
model blacklist禁止命中某些模型
daily / weekly budget限制周期额度
routing strategy控制自动路由偏好

请求被拒绝时

错误常见原因
403 invalid_api_keyKey 无效、撤销、过期或不是 active
403 policy_rejectedIP、tier、fixed model、模型黑名单或 blocked 策略不满足
402 insufficient_quota钱包余额不足、预算不足或预冻结失败

变更策略

推荐用新 Key 替换旧 Key:

  1. 创建新 Key,并绑定新策略。
  2. 在测试环境发一条带 X-Request-ID 的请求。
  3. 在 JoyToken Console 确认日志和用量正常。
  4. 切换生产环境变量。
  5. 观察一段时间后 revoke 旧 Key。