跳转到主要内容
NekoHub 把访问分成两层:公开读取层,以及已认证的管理层。

访问层级

匿名 / 公开访问

任何人都可以匿名访问公开画廊和公开资产接口: 这些端点只会暴露 isPublic=true 且状态为 ready 的内容。

已认证的管理访问

上传资产、修改元数据、管理用户、配置存储和 AI provider 等操作都属于管理层。 管理层支持两种鉴权方式:
用户通过 POST /api/v1/auth/login 登录,得到 access token 与 refresh token。
之后把 access token 放在 Authorization: Bearer <JWT> 里调用管理接口。

管理接口

以下接口组需要鉴权: 其中:
  • /api/v1/auth/logout/api/v1/auth/me 仅接受 JWT
  • 大多数管理接口接受 JWT 或 API key
  • /mcp 仅接受 API key

MCP 端点

/mcp 是机器到机器接口,不接受 JWT。当前实现包含:
  • GET /mcp
  • POST /mcp
  • GET /mcp/sse
  • POST /mcp/message
这些入口都需要 Authorization: Bearer <API_KEY>

角色与权限

NekoHub 当前有三个角色: 补充约束:
  • superAdmin 只能通过 Auth__BootstrapSuperAdmin__* 首次引导创建
  • admin 不能创建或提升其他 admin / superAdmin
  • superAdmin 不能被其他用户降级或禁用