Quicknode provides multiple authentication methods to secure your Arc endpoints. Choose the approach that best fits your application's security requirements and deployment environment.
- 免费试用套餐:令牌认证和基本速率限制
- “Build” 计划及以上:所有身份验证方法,包括 JWT、来源白名单、高级速率限制和域名屏蔽
基于令牌的身份验证
每个端点都包含一个直接嵌入在 URL 中的唯一身份验证令牌:
https://your-endpoint-name.arc.quiknode.pro/your-auth-token/基于标头的身份验证
或者,您可以传递 x-token 在请求的头部中:
curl https://your-endpoint-name.arc.quiknode.pro/ \
-X POST \
-H "x-token: your-auth-token" \
-H "Content-Type: application/json" \
-d '{"jsonrpc":"2.0","method":"method_name","params":[],"id":1}'
所有请求必须包含有效的令牌才能被接受。您可以随时在仪表盘中重新生成令牌,旧令牌在重新生成后会立即失效。轮换令牌时,请先生成一个新令牌,然后更新您的应用程序以使用新令牌,最后删除旧令牌,以确保服务持续可用。
禁用令牌身份验证:出于开发或测试目的,您可以在端点的安全设置中完全禁用令牌身份验证,从而创建一个可公开访问的端点。
引荐来源白名单
您可以通过仅允许来自特定域的流量来限制对端点的访问。这有助于防止端点在基于浏览器的环境中被未经授权地使用。
- HTTP 请求 必须包含一个有效的
引荐来源页眉 - WebSocket 连接 必须包含一个有效的
来源页眉 - 域名匹配必须完全匹配——不支持通配符
了解更多:有关详细的设置说明,请参阅我们的《引荐来源白名单配置指南》
JWT 身份验证
JSON Web Tokens(JWT)通过加密签名的身份验证令牌提供企业级安全性。与基本令牌身份验证不同,JWT 允许您将自定义权限、用户信息和过期时间直接嵌入到令牌中。
JWT 可在您与端点之间实现无状态身份验证,因此非常适合需要精细访问控制、程序化令牌生成以及复杂权限系统的应用程序。在无法实际使用会话存储的微服务架构中,JWT 尤其有用。
有关完整的实现细节和代码示例,请参阅我们的《JWT 实现指南》
多个身份验证令牌
默认情况下,每个 Quicknode 端点都配有一个身份验证令牌。不过,您可以为同一个端点创建多个令牌,从而更好地控制访问管理和安全措施。
通过使用多个令牌,您可以区分不同环境(开发、预发布、生产),隔离不同的应用程序或服务,并在不影响服务的情况下轮换令牌。这种方法还支持对单个令牌的使用情况进行监控,从而更深入地了解 API 的使用情况。
如需分步操作指南,请参阅我们的《多令牌设置指南》
其他安全功能
选择“Build”及以上套餐,即可解锁高级安全控制功能,实现企业级端点防护:
- 方法速率限制——为特定的 API 调用设置每秒、每分钟或每天的调用限制,以防止滥用并管理资源使用情况
- 域名掩码——将默认的 Quicknode URL 替换为您的自有品牌域名,以实现专业化的端点并增强安全性