3x-ui3x-ui
СправочникСправочник по API

Токены API

Управление токенами Bearer для программной аутентификации (боты, центральные панели, действующие от имени этого узла, CI). У каждого токена есть уникальное имя и флаг активности — отключите токен, чтобы отозвать его без удаления, либо удалите, чтобы отозвать окончательно. Токены хранятся в виде хешей SHA-256, а открытый текст возвращается лишь один раз, в ответе на создание — впоследствии получить его нельзя, поэтому скопируйте его сразу. Передавайте токен как <code>Authorization: Bearer &lt;token&gt;</code> в любом запросе /panel/api/* — такой токен даёт полные права администратора.

List every API token, enabled or not. The token value is never returned — only metadata.

GET
/panel/api/setting/apiTokens

Authorization

AuthorizationBearer <token>

API token from Settings → Security → API Token. Send as Authorization: Bearer <token>.

In: header

Response Body

application/json

curl -X GET "https://example.com/panel/api/setting/apiTokens"
{  "success": true,  "obj": [    {      "id": 1,      "name": "default",      "enabled": true,      "createdAt": 1736000000    }  ]}

Mint a new API token. Name must be unique and 1-64 characters; the token string is server-generated and returned only in this response — it is stored hashed and cannot be retrieved later.

POST
/panel/api/setting/apiTokens/create

Authorization

AuthorizationBearer <token>

API token from Settings → Security → API Token. Send as Authorization: Bearer <token>.

In: header

Request Body

application/json

TypeScript Definitions

Use the request body type in TypeScript.

Response Body

application/json

application/json

curl -X POST "https://example.com/panel/api/setting/apiTokens/create" \  -H "Content-Type: application/json" \  -d '{    "name": "central-panel-a"  }'
{  "success": true,  "obj": {    "createdAt": 1736000000,    "enabled": true,    "id": 2,    "name": "central-panel-a",    "token": "new-token-string"  }}
{  "success": false,  "msg": "a token with that name already exists"}

Permanently delete a token. Any caller using it stops authenticating immediately.

POST
/panel/api/setting/apiTokens/delete/{id}

Authorization

AuthorizationBearer <token>

API token from Settings → Security → API Token. Send as Authorization: Bearer <token>.

In: header

Path Parameters

id*integer

Token row ID.

Response Body

application/json

curl -X POST "https://example.com/panel/api/setting/apiTokens/delete/0"
{  "success": true}

Toggle a token enabled/disabled without deleting it. Disabled tokens are rejected by checkAPIAuth on the next request.

POST
/panel/api/setting/apiTokens/setEnabled/{id}

Authorization

AuthorizationBearer <token>

API token from Settings → Security → API Token. Send as Authorization: Bearer <token>.

In: header

Path Parameters

id*integer

Token row ID.

Request Body

application/json

TypeScript Definitions

Use the request body type in TypeScript.

Response Body

application/json

curl -X POST "https://example.com/panel/api/setting/apiTokens/setEnabled/0" \  -H "Content-Type: application/json" \  -d '{    "enabled": false  }'
{  "success": true}

Аутентификация

Поддерживаются два режима аутентификации. Сессии веб-интерфейса используют cookie, устанавливаемый эндпоинтом входа. Программные клиенты (боты, скрипты, удалённые панели) аутентифицируются с помощью Bearer-токена, взятого из Settings → Security → API Token. Оба способа работают для всех эндпоинтов под /panel/api/*.

Входящие подключения

Управление конфигурациями входящих подключений и их клиентами. Все эндпоинты находятся в /panel/api/inbounds и требуют активной сессии входа или Bearer-токена. Эндпоинты, генерирующие ссылки, учитывают перенаправленные заголовки только тогда, когда запрос приходит от настроенного доверенного прокси.