认证授权
API Authentication & Authorization
为API服务提供JWT认证、角色管理和访问控制
子问题
1.Token生命周期管理
2.多角色权限控制
3.API端点保护
4.零配置降级与访客自动签发
5.Token 续期速率限制与高频轮询路径排除
各项目的解法1 solutions
Signals
横向对比
| 维度 | LightRAG |
|---|---|
| 认证方式 | JWT + API Key 双通道,OAuth2PasswordBearer + APIKeyHeader 并行 |
| 角色模型 | user/guest 二级角色,未配置时自动降级为 guest |
| Token 续期 | 滑动窗口续期,X-New-Token 响应头 + 60s 速率限制 |
| 配置方式 | 全环境变量驱动,8 个参数,零配置可用 |
| 端点保护 | FastAPI Depends 注入 + 路径白名单(前缀/精确混合匹配) |
| 降级策略 | 未配置认证时自动签发 guest token,所有端点可访问 |
最佳实践
1.JWT+角色区分,通过环境变量配置账户,FastAPI Depends注入认证依赖
2.滑动窗口续期通过响应头透传,客户端无感知
3.CORS expose_headers 配合 Token 续期实现跨域续期
4.路径白名单支持前缀匹配和精确匹配混合模式