API认证
DeepoMe API使用JWT Bearer Token认证,支持API Key和OAuth 2.0两种授权方式。
更新时间:2026-06-03
API认证JWTBearer TokenOAuth 2.0API Key授权
认证方式
API Key 认证
最简单的认证方式,适用于服务端调用:
Authorization: Bearer YOUR_API_KEY
获取API Key:
- 注册DeepoMe开发者账号
- 在控制台创建应用
- 获取API Key和Secret
OAuth 2.0 认证
适用于需要用户授权的场景:
GET /oauth/authorize?response_type=code&client_id=YOUR_CLIENT_ID
授权流程:
- 重定向用户到授权页面
- 用户同意授权
- 获取授权码(code)
- 用授权码换取access_token
Token 管理
Access Token
- 有效期:24小时
- 格式:JWT
- 包含:用户ID、权限范围、过期时间
Refresh Token
- 有效期:30天
- 用于获取新的Access Token
- 每次使用后轮换
权限范围(Scopes)
| Scope | 描述 |
|---|---|
| read:sample | 读取检测样本数据 |
| read:pathway | 读取通路分析结果 |
| write:screening | 创建虚拟筛选任务 |
| read:drug | 读取药物数据库 |
安全最佳实践
- 不要在前端代码中暴露API Key
- 使用HTTPS传输所有请求
- 定期轮换API Key
- 设置IP白名单
- 监控异常请求模式
参考资料
- RFC 7519 - JSON Web Token (JWT)
- RFC 6749 - The OAuth 2.0 Authorization Framework