API Client 与凭证
API Client 表示一个机器到机器集成。
每个 API Client 都有 clientId 和 clientSecret。使用这些凭证调用 创建访问令牌,再使用返回的 Bearer token 调用 REST API。
Client 字段
| 字段 | 说明 |
|---|---|
| Client 名称 | 开发者后台中展示的人类可读名称 |
clientId | 用于获取访问令牌的客户端标识 |
clientSecret | 用于获取 access token 的密钥 |
| Scopes | 授予该 API Client 的权限 |
| 状态 | API Client 是否启用 |
凭证规则
clientSecret只在创建或轮换时展示- 离开创建或轮换结果页面后,
clientSecret不会再次明文展示 clientSecret只能保存在服务端密钥存储中- 不要将
clientSecret写入浏览器代码、移动端 App、公开代码仓库或截图 - 尽量为每个集成或环境使用独立 API Client
- 禁用不再使用的 API Client
Token 使用
API Client 不直接使用 clientSecret 调用设备接口。
它先用凭证换取 access token:
http
POST /wlte/v1/auth/token然后使用下面的请求头调用 REST API:
http
Authorization: Bearer {accessToken}轮换建议
凭证轮换应提前规划,避免服务中断。
推荐流程:
- 创建或轮换新的
clientSecret。 - 将新密钥部署到服务端集成。
- 验证能成功获取 access token,并调用一个只读 API。
- 停止使用旧密钥。
- 如果后台支持,禁用或吊销旧密钥。
如果凭证可能泄露,应立即禁用并创建新的凭证。