鉴权方式	说明
个人访问令牌	Personal Access Token，简称 PAT。扣子编程中生成的个人访问令牌。每个令牌可以关联多个空间，并开通指定的接口权限。生成方式可参考添加个人访问令牌。注意虽然 PAT 生成和使用便捷，但其本质上是一种预授权的明文令牌。如果保管不当，极易导致令牌泄露，进而被黑灰产盗用，引发安全风险。建议仅在测试环境、调试场景中使用 PAT，并严格限制其使用范围和有效期。在生产环境中应谨慎使用 PAT，优先考虑更安全的认证方式 OAuth。
服务访问令牌	Service Access Token（简称 SAT）是以服务身份创建的访问凭证，可长期有效访问扣子编程资源，通常用于服务/应用程序的身份验证和授权。SAT 与 OAuth JWT 鉴权方式相比，具有更长的有效期（可设置为永久有效），操作简单，能够有效简化授权流程。
OAuth 访问令牌	OAuth Access Token，通过 OAuth 2.0 鉴权方式生成的 OAuth 访问令牌。该鉴权方式通常用于应用程序的身份验证和授权，和 PAT 鉴权方式相比，令牌有效期短，安全性更高，适用于线上生产环境。扣子编程目前支持授权码（Authorization Code Grant）、JWT 模式（JSON Web Tokens）等多种 OAuth 授权类型，详细说明请参见下文中的OAuth 授权方式说明。

你可以参考下图选择合适的鉴权方式。

OAuth 授权方式说明

扣子编程 API 支持以下 OAuth 2.0 授权方式，提供标准的 OAuth 2.0 鉴权流程与方案，精细化的鉴权策略，便于开发者和渠道快速接入。OAuth 授权适用于应用程序以 API 方式集成扣子编程的某些功能，应用程序以扣子用户的身份调用扣子编程 API。

授权方式	适用场景	应用设置	参考文档
授权码授权（Authorization Code Flow）	有显著前后端之分的应用程序授权场景。前端模块负责与用户交互，后端服务处理前端请求，与扣子授权服务器和 OpenAPI 交互。	应用类型：普通客户端类型：Web 后端应用	OAuth 授权码授权 OAuth 授权（多人协作场景）
PKCE 授权（Authorization Code Flow with PKCE）	无后端服务的应用程序，所有操作发生在应用程序的前端。	应用类型：普通客户端类型：移动端/PC 桌面端/单页面应用	OAuth PKCE OAuth 授权（多人协作场景）
设备码授权（Device Code Flow）	应用程序无后端服务，所有操作都发生在应用程序的 Command Line，且 Command Line 无法提供“同意授权”的操作。	应用类型：普通客户端类型：TV端/设备应用/类命令行程序	OAuth 设备授权 OAuth 授权（多人协作场景）
JWT 授权（JWT Flow）	应用程序服务端直接调用 Coze OpenAPI。	应用类型：普通客户端类型：服务类应用	OAuth JWT 授权（开发者）
	第三方渠道中的应用程序后端服务代理其终端用户获取访问令牌，终端用户基于访问令牌直接访问扣子编程 OpenAPI。	应用类型：渠道客户端类型：服务类应用	OAuth JWT 授权（渠道场景）
	应用程序服务端获取企业级资源的访问令牌，统筹管理企业成员、账单、组织和工作空间。	应用类型：企业特权应用客户端类型：服务类应用	OAuth JWT 授权（企业特权应用）

说明

在扣子编程中，所有 OAuth 应用的相关操作，均可能存在数秒的延迟，这是由于系统设计为保证高可用和高性能引入的缓存机制导致，如果您发现操作未生效，请等待一段期间后重试。

鉴权示例代码

扣子编程提供了多语言的鉴权示例代码，包括个人访问令牌（PAT）和 OAuth 认证等多种鉴权方式，鉴权示例代码的地址如下表所示。您可以根据具体需求选择合适的示例代码，实现不同鉴权方式的集成。

授权方式	Python	Node.js	Java	Go
个人访问令牌	examples/auth_pat.py	auth/auth-pat.ts	TokenAuthExample.java	pat_example.go
OAuth 授权码	examples/auth_oauth_web.py	auth/auth-oauth-web.ts	WebOAuthExample.java	web_oauth_example.go
OAuth JWT	examples/auth_oauth_jwt.py	auth/auth-oauth-jwt.ts auth/auth-oauth-jwt-channel.ts	JWTsOauthExample.java	jwt_example.go
OAuth PKCE	examples/auth_oauth_pkce.py	auth/auth-oauth-pkce.ts	PKCEOauthExample.java	pkce_example.go
OAuth 设备码	examples/auth_oauth_device.py	auth/auth-oauth-device.ts	DeviceOAuthExample.java	device_example.go

你也可以在 OAuth 应用页面下载对应鉴权方式的示例代码。

角色与权限说明

不同扣子套餐支持的鉴权方式，以及各角色的操作权限如下表所示。✔️ 表示具备权限，- 表示没有权限。

鉴权方式	个人版	企业版（企业标准版、企业旗舰版）
鉴权方式	个人版	超级管理员、管理员	员工
个人访问令牌（PAT）	✔️	✔️	✔️
服务访问令牌（SAT）	✔️	✔️	-
OAuth 授权码授权	✔️	✔️	-
OAuth PKCE	✔️	✔️	-
OAuth 设备授权	✔️	✔️	-
OAuth 授权（多人协作）	-	✔️	-
OAuth JWT 授权（开发者）	✔️	✔️	-
OAuth JWT 授权（渠道）	✔️	✔️	-
OAuth JWT 授权（企业特权应用）	-	✔️	-

说明

扣子企业版中的成员不支持创建组织级别的 OAuth 应用，仅超级管理员和管理员支持创建组织级别的 OAuth 应用。成员只支持创建个人版的 OAuth 应用。

权限层级

扣子编程资源的权限点分为三个层级，各层级对应不同的生效范围，你可以在权限点右侧查看该权限点对应的层级。

权限层级查看入口

权限层级示意图

企业级别：权限点的生效范围为整个企业，例如查询企业下的账单文件、管理设备的权益额度等。仅企业的超级管理员和管理员能被授权该级别的权限，扣子个人账号或企业中的员工不支持授权企业层级的权限点。
账号级别：权限点的生效范围为当前账号。用户可通过 Access Token 管理账号下的会话、文件、音色等资源，例如查询当前账号下的所有会话。
工作空间级别：权限点的生效范围为你创建或加入的工作空间，授权时需要设置该 Access Token 可访问的工作空间，以便管理该工作空间中的智能体、工作流、应用等资源，例如在工作空间中创建智能体。