3x-ui3x-ui
مرجعمرجع API

توکن‌های API

مدیریت توکن‌های Bearer برای احراز هویت برنامه‌نویسی‌شده (ربات‌ها، پنل‌های مرکزی که از طرف این نود عمل می‌کنند، CI). هر توکن یک نام یکتا و یک پرچم فعال‌سازی دارد — برای لغو بدون حذف، آن را غیرفعال کنید و برای لغو دائمی، آن را حذف کنید. توکن‌ها به صورت هش SHA-256 ذخیره می‌شوند و متن خام تنها یک‌بار، در پاسخ ایجاد، بازگردانده می‌شود — پس از آن قابل بازیابی نیست، بنابراین همان موقع آن را کپی کنید. برای هر درخواست /panel/api/* یکی را به صورت <code>Authorization: Bearer &lt;token&gt;</code> ارسال کنید — این توکن یک اعتبارنامهٔ مدیر کامل است.

List every API token, enabled or not. The token value is never returned — only metadata.

GET
/panel/api/setting/apiTokens

Authorization

AuthorizationBearer <token>

API token from Settings → Security → API Token. Send as Authorization: Bearer <token>.

In: header

Response Body

application/json

curl -X GET "https://example.com/panel/api/setting/apiTokens"
{  "success": true,  "obj": [    {      "id": 1,      "name": "default",      "enabled": true,      "createdAt": 1736000000    }  ]}

Mint a new API token. Name must be unique and 1-64 characters; the token string is server-generated and returned only in this response — it is stored hashed and cannot be retrieved later.

POST
/panel/api/setting/apiTokens/create

Authorization

AuthorizationBearer <token>

API token from Settings → Security → API Token. Send as Authorization: Bearer <token>.

In: header

Request Body

application/json

TypeScript Definitions

Use the request body type in TypeScript.

Response Body

application/json

application/json

curl -X POST "https://example.com/panel/api/setting/apiTokens/create" \  -H "Content-Type: application/json" \  -d '{    "name": "central-panel-a"  }'
{  "success": true,  "obj": {    "createdAt": 1736000000,    "enabled": true,    "id": 2,    "name": "central-panel-a",    "token": "new-token-string"  }}
{  "success": false,  "msg": "a token with that name already exists"}

Permanently delete a token. Any caller using it stops authenticating immediately.

POST
/panel/api/setting/apiTokens/delete/{id}

Authorization

AuthorizationBearer <token>

API token from Settings → Security → API Token. Send as Authorization: Bearer <token>.

In: header

Path Parameters

id*integer

Token row ID.

Response Body

application/json

curl -X POST "https://example.com/panel/api/setting/apiTokens/delete/0"
{  "success": true}

Toggle a token enabled/disabled without deleting it. Disabled tokens are rejected by checkAPIAuth on the next request.

POST
/panel/api/setting/apiTokens/setEnabled/{id}

Authorization

AuthorizationBearer <token>

API token from Settings → Security → API Token. Send as Authorization: Bearer <token>.

In: header

Path Parameters

id*integer

Token row ID.

Request Body

application/json

TypeScript Definitions

Use the request body type in TypeScript.

Response Body

application/json

curl -X POST "https://example.com/panel/api/setting/apiTokens/setEnabled/0" \  -H "Content-Type: application/json" \  -d '{    "enabled": false  }'
{  "success": true}

احراز هویت

دو حالت احراز هویت پشتیبانی می‌شود. نشست‌های UI از یک کوکی استفاده می‌کنند که توسط نقطه‌پایانی ورود تنظیم می‌شود. کلاینت‌های برنامه‌نویسی‌شده (ربات‌ها، اسکریپت‌ها، پنل‌های راه دور) با یک توکن Bearer که از مسیر Settings → Security → API Token گرفته می‌شود احراز هویت می‌کنند. هر دو روش برای همهٔ نقاط‌پایانی زیر /panel/api/* کار می‌کنند.

ورودی‌ها

مدیریت پیکربندی‌های ورودی و کلاینت‌های آن‌ها. همهٔ endpointها زیر /panel/api/inbounds قرار دارند و به یک نشست واردشده یا توکن Bearer نیاز دارند. endpointهای تولیدکنندهٔ لینک تنها زمانی به هدرهای forwarded اعتنا می‌کنند که درخواست از یک پراکسی مورد اعتماد پیکربندی‌شده برسد.