1.对接平台接口新增api-key参数

API对接文档.md

@@ -49,10 +49,10 @@
 
 ## 2. 鉴权与对接流程（平台侧 /api/v1）
 
-平台侧接口分两步：
+平台侧接口需统一携带请求头 **`api-key`**（与服务端 `.env` 中 `API_KEY` 一致），业务接口另需 **`auth-token`**。
 
-1. **获取 `auth-token`**
-2. **携带 `auth-token` 调用 `/api/v1/*` 业务接口**
+1. **获取 `auth-token`**（同时携带 `api-key`）
+2. **携带 `api-key` + `auth-token` 调用 `/api/v1/*` 业务接口**
 
 ### 2.1 获取 auth-token
 
@@ -100,11 +100,22 @@ signature = md5(agent_id + secret + time)
 - 密钥错误/签名错误/时间戳无效：`code=403`
 - 服务端未配置密钥或生成失败：`code=500`
 
-### 2.2 调用 v1 业务接口（携带 auth-token）
+### 2.2 平台 api-key（所有 /api/v1/* 必填）
 
-除 `/api/v1/authToken` 外，其余 `/api/v1/*` 接口需要在请求头携带：
+- **取值**：与服务端环境变量 `API_KEY` 完全一致（部署在 `server/.env`）
+- **适用范围**：所有 `/api/v1/*` 接口（含 `/api/v1/authToken` 与业务接口）
+- **携带方式**（任选其一，按优先级读取，先命中即采用）：
+  1. 请求头 `api-key: <API_KEY>`（**推荐**）
+  2. URL 查询参数 `api_key=<API_KEY>`（或 `api-key=<API_KEY>`）
+  3. body 表单/JSON 字段 `api_key`（或 `api-key`）
+- **未携带或错误**：`401` / `403`
 
-- `auth-token: <authtoken>`
+### 2.3 调用 v1 业务接口（携带 auth-token）
+
+除 `/api/v1/authToken` 外，其余 `/api/v1/*` 接口需要携带：
+
+- `api-key: <与 API_KEY 一致>`（请求头 / query / body 任选其一，参见 2.2）
+- `auth-token: <authtoken>`（仅支持请求头）
 
 当 `auth-token` 过期或失效，返回 `code=402`，需要重新调用 `/api/v1/authToken` 获取新 token。