理解 Downcity City

信任边界

哪些东西可以放在 client,哪些必须留在 City 或可信服务。

Downcity 的安全模型建立在清晰的信任边界上。

可以放在 client

  • User City
  • city_url
  • user_token
  • 模型 ID
  • prompt、messages、size、voice 等用户输入

必须留在可信环境

  • provider API key
  • DOWNCITY_CITY_ADMIN_SECRET_KEY
  • Runtime env 管理权限
  • token 签发逻辑
  • 套餐、余额、扣费和风控判断

City 的边界

City 负责校验 user_token,读取 Runtime env,并通过 service handler 调用真实模型。client 不需要知道 provider key,也不需要知道你内部如何扣费。

client 可以知道:我要调用哪个模型
client 不应该知道:这个模型背后用哪个 provider key

这个边界让纯客户端产品可以直接接入 City,同时不暴露敏感配置。

token 模型

admin_secret_key 和 user_token 如何配合。

usage 与商业模式

如何把用量记录、套餐、余额和扣费放到 hook 中。

目录

可以放在 client必须留在可信环境City 的边界