# API 鉴权文档

## 认证方式

### Access Token

对于需要鉴权的 API 接口，必须同时提供以下两个请求头来进行 Access Token 认证：

1. **请求头中的 `Authorization` 字段**

    将 Access Token 放置于 HTTP 请求头部的 `Authorization` 字段中，格式如下：

    ```
    Authorization: <your_access_token>
    ```

    其中 `<your_access_token>` 需要替换为实际的 Access Token 值。

2. **请求头中的 `New-Api-User` 字段**

    将用户 ID 放置于 HTTP 请求头部的 `New-Api-User` 字段中，格式如下：

    ```
    New-Api-User: <your_user_id>
    ```

    其中 `<your_user_id>` 需要替换为实际的用户 ID。

**注意：**

*   **必须同时提供 `Authorization` 和 `New-Api-User` 两个请求头才能通过鉴权。**
*   如果只提供其中一个请求头，或者两个请求头都未提供，则会返回 `401 Unauthorized` 错误。
*   如果 `Authorization` 中的 Access Token 无效，则会返回 `401 Unauthorized` 错误，并提示“无权进行此操作，access token 无效”。
*   如果 `New-Api-User` 中的用户 ID 与 Access Token 不匹配，则会返回 `401 Unauthorized` 错误，并提示“无权进行此操作，与登录用户不匹配，请重新登录”。
*   如果没有提供 `New-Api-User` 请求头，则会返回 `401 Unauthorized` 错误，并提示“无权进行此操作，未提供 New-Api-User”。
*   如果 `New-Api-User` 请求头格式错误，则会返回 `401 Unauthorized` 错误，并提示“无权进行此操作，New-Api-User 格式错误”。
*   如果用户已被禁用，则会返回 `403 Forbidden` 错误，并提示“用户已被封禁”。
*   如果用户权限不足，则会返回 `403 Forbidden` 错误，并提示“无权进行此操作，权限不足”。
*   如果用户信息无效，则会返回 `403 Forbidden` 错误，并提示“无权进行此操作，用户信息无效”。

## Curl 示例

假设您的 Access Token 为 `access_token`，用户 ID 为 `123`，要访问的 API 接口为 `/api/user/self`，则可以使用以下 curl 命令：

```bash
curl -X GET \
  -H "Authorization: access_token" \
  -H "New-Api-User: 123" \
  https://your-domain.com/api/user/self
```

请将 `access_token`、`123` 和 `https://your-domain.com` 替换为实际的值。