3x-ui3x-ui
СправочникСправочник по API

Аутентификация

Поддерживаются два режима аутентификации. Сессии веб-интерфейса используют cookie, устанавливаемый эндпоинтом входа. Программные клиенты (боты, скрипты, удалённые панели) аутентифицируются с помощью Bearer-токена, взятого из Settings → Security → API Token. Оба способа работают для всех эндпоинтов под /panel/api/*.

Authenticate with username + password and receive a session cookie. Required before any cookie-based API call.

POST
/login

Authorization

AuthorizationBearer <token>

API token from Settings → Security → API Token. Send as Authorization: Bearer <token>.

In: header

Request Body

application/json

TypeScript Definitions

Use the request body type in TypeScript.

Response Body

application/json

application/json

curl -X POST "https://example.com/login" \  -H "Content-Type: application/json" \  -d '{    "username": "admin",    "password": "admin",    "twoFactorCode": "123456"  }'
{  "success": true,  "msg": "Logged in successfully"}
{  "success": false,  "msg": "Wrong username or password"}
POST
/logout

Authorization

AuthorizationBearer <token>

API token from Settings → Security → API Token. Send as Authorization: Bearer <token>.

In: header

Response Body

application/json

curl -X POST "https://example.com/logout"
{  "success": true}

Mint a CSRF token for the current session. The SPA replays it in the X-CSRF-Token header on unsafe requests. Bearer-token callers can skip this — the middleware short-circuits CSRF for authenticated API requests.

GET
/csrf-token

Authorization

AuthorizationBearer <token>

API token from Settings → Security → API Token. Send as Authorization: Bearer <token>.

In: header

Response Body

application/json

curl -X GET "https://example.com/csrf-token"
{  "success": true,  "obj": "csrf-token-string"}

Returns whether 2FA is enabled on the panel — used by the login page to decide whether to show the OTP field.

POST
/getTwoFactorEnable

Authorization

AuthorizationBearer <token>

API token from Settings → Security → API Token. Send as Authorization: Bearer <token>.

In: header

Response Body

application/json

curl -X POST "https://example.com/getTwoFactorEnable"
{  "success": true,  "obj": false}

Справочник по API

REST API панели 3x-ui — аутентификация, входящие подключения, клиенты, статистика сервера и многое другое, сгенерировано из спецификации OpenAPI.

Токены API

Управление токенами Bearer для программной аутентификации (боты, центральные панели, действующие от имени этого узла, CI). У каждого токена есть уникальное имя и флаг активности — отключите токен, чтобы отозвать его без удаления, либо удалите, чтобы отозвать окончательно. Токены хранятся в виде хешей SHA-256, а открытый текст возвращается лишь один раз, в ответе на создание — впоследствии получить его нельзя, поэтому скопируйте его сразу. Передавайте токен как <code>Authorization: Bearer &lt;token&gt;</code> в любом запросе /panel/api/* — такой токен даёт полные права администратора.