Аутентификация

Все запросы к API авторизуются по Bearer-токену в заголовке Authorization:

Authorization: Bearer sk-llmgw-XXXXXXXXXXXXXXXXXXXXXXXXXXX

Ключ создаётся в кабинете → API ключи. Префикс всегда sk-llmgw-. Полный ключ показывается один раз при создании.

Лимиты ключа

Каждому ключу можно назначить:

• дневной лимит в ₽ (daily_limit_kopecks),
• месячный лимит в ₽ (monthly_limit_kopecks),
• RPM — запросов в минуту,
• TPM — токенов в минуту,
• allowed_models — список разрешённых моделей.

Эти лимиты применяются на стороне LiteLLM-прокси. При превышении возвращается 429 Too Many Requests.

Глобальные лимиты аккаунта

Помимо лимитов конкретного ключа, действуют общие правила:

• Максимум баланс — без ограничений (но не более 50 000 ₽ за одно пополнение).
• При нулевом или отрицательном балансе все ключи аккаунта блокируются. Разблокировка автоматическая после первой успешной оплаты.

Ротация и удаление

• Кнопка «Ротировать» в кабинете создаёт новый ключ и удаляет старый — старый сразу перестаёт работать.
• Удаление ключа также мгновенно отзывает доступ.

Хорошая практика — иметь отдельный ключ под каждое приложение или окружение (dev, staging, prod).

Безопасность

• Не храните ключ в публичных репозиториях, в коде клиентского приложения или в браузере (используйте свой backend как прокси).
• Для production-приложений ставьте RPM/дневной лимит — это защитит от утечек.
• Включите 2FA в Настройках кабинета.

CORS

Запросы с Origin: https://* поддерживаются для тестов в браузере. Для production рекомендуется проксировать запросы через ваш backend, чтобы не светить ключ в публичной сети.