1. api 密钥花费限制:credit_limit_usd
credit_limit_usd 是一个密钥的终身花费天花板,以普通 USD 表示。
你在密钥编辑器中输入一个美元数字;OrcaRouter 把它转换成该密钥的
起始配额,并对照它计量每一次调用。
有界
credit_limit_usd: 25 铸造一个带有 $25 花费的密钥。每次
调用扣除其成本;一旦剩余余额触及零,该密钥就停止授权,
且每个后续请求都被拒绝。无限
credit_limit_usd: 0 是无上限的哨兵值——该密钥从你的工作区
余额中支取,没有按密钥的天花板。很方便,但一旦泄露便是最坏的
影响半径。2. 上限如何被计量:remain_quota 与 used_quota
你输入的美元上限是面向人类的表层。在它之下,网关在密钥上
跟踪两个运行中的计数器:
| 字段 | 含义 |
|---|---|
remain_quota | 在密钥停止授权之前剩余的花费。 |
used_quota | 在密钥的生命周期内迄今消耗的花费。 |
credit_limit_usd 会从那个美元数字播种
remain_quota;每次计费调用都把成本从 remain_quota 移入
used_quota。一个带无限上限的密钥改为携带 unlimited_quota,
而余额检查被完全跳过。
3. 自动到期:expired_time
expired_time 是一个绝对截止——一个 Unix 纪元时间戳(秒),
此后无论还剩多少预算,该密钥都停止授权。
- 一个未来时间戳在那一刻使密钥到期。网关在每个请求上把它 与当前时间比对,并在它过去之后拒绝该调用。
-1是永不到期的哨兵值。
4. 一个具体的有上限、会到期的密钥
一个用一个廉价模型对账发票、运行一个两周试点、且每晚花费永远 不应超过几美元的夜间作业,几乎不需要任何权限。在控制台密钥 编辑器(/console/token —— Developer+)中配置它的密钥:
如果这个智能体在第三天被劫持,损害被限定在它 $40 余下的部分,
而且无论如何整个密钥在十一天内都会消失。工作区的其余部分
毫发无损。
这两个字段都是密钥上的 USD 与时间,而非工作区级别的策略。要
限定单个智能体运行的花费(而非一个密钥的生命周期),防火墙的
cap_cost 判定是按运行的断路器——参见
防火墙规则。两者组合:密钥上限限定
生命周期,cap_cost 限定单次运行。5. 谁能设置这些
设置credit_limit_usd 和 expired_time 是创建或编辑一个密钥的
一部分,这需要 Developer 角色或以上。任何工作区成员都可以
读取一个密钥的掩码记录;只有 Developer+ 能更改它的限制。密钥在
展示时被掩码——明文在创建时显示一次(参见
密钥掩码)。
6. 默认有界
一个credit_limit_usd: 0 且 expired_time: -1 的密钥既无
花费上限也永不到期——最大权限、最坏影响半径。让那成为一个
刻意的例外,而非默认。
无限 vs 有界
什么时候一个无上限、不到期的密钥实际上是正确的选择——以及
什么时候不是。
最小权限检查清单
让每个生产密钥在上线之前都经过同样的加固流程。
7. 相关
令牌对象
密钥上的每个字段,包括配额计数器。
绑定策略
把一个防护栏和一个防火墙策略附加到同一个密钥上。
过度代理
花费上限和到期旨在遏制的那种威胁。