跳转至

如何为 Cloudflare 账号申请 API Token

TG-FF 在对接 Cloudflare R2、Workers 等服务时,需要你在控制台创建一个 API Token,并填入软件配置中。

本教程会教你:

  1. 进入 Cloudflare 的 API 令牌管理页
  2. 创建 自定义令牌,只勾选 TG-FF 需要的最小权限
  3. 生成 Token 并妥善保存

安全提示

API Token 相当于账号密钥,不要发给他人,也不要提交到公开仓库。Token 只在创建时完整显示一次,丢失后需要重新创建。

开始之前,请先准备好

准备项 说明
Cloudflare 账号 已注册并可以登录 控制台
已开通 R2 若尚未开通,请先阅读 如何注册 Cloudflare 账号并开通 R2 存储
电脑浏览器 建议使用 Chrome、Edge 或 Safari

TG-FF 所需的最小权限集

不要 使用「编辑 Cloudflare Workers」等模板令牌,也不要勾选「所有权限」。
按下面表格逐项勾选即可,这是 TG-FF 正常运行所需的 最小权限集

权限分类 权限组 资源范围 读取 编辑 用途说明
DNS & Zones Account DNS Settings 整个账户 读取账户级 DNS 设置
DNS & Zones DNS View 整个账户 读取 DNS 视图/记录
Developer Platform D1 整个账户 数据库配置与 SQL 查询
Developer Platform Workers CI 整个账户 Workers CI 相关操作
Developer Platform Workers Containers 整个账户 Workers 容器管理
Developer Platform Workers KV Storage 整个账户 KV 键值存储
Developer Platform Workers R2 Storage 整个账户 R2 对象存储读写
Developer Platform Workers Scripts 整个账户 Workers 脚本部署与管理

8 项权限:DNS 类只需 Read,Developer Platform 类需 Read + Edit
请勿勾选 DNS Firewall、Registrar Domains 等其他无关项。

为什么用最小权限?

只授予 TG-FF 实际需要的权限,可以降低 Token 泄露后的风险,也避免误操作其他 Cloudflare 服务。

第一步:进入 API 令牌页面

  1. 登录 Cloudflare 控制台
  2. 点击右上角 头像 / 账户菜单
  3. 选择 「我的个人资料(My Profile)」 或左侧 「管理账户(Manage Account)」
  4. 在左侧菜单点击 「账户 API 令牌(Account API Tokens)」
  5. 点击右上角蓝色按钮 「创建令牌(Create Token)」

进入账户 API 令牌页面并点击创建令牌

两种 Token 的区别

  • 账户 API 令牌:用于管理账户级资源(R2、Workers 等),TG-FF 需要这种
  • 用户 API 令牌:在「我的配置文件」中创建,本教程 不需要

第二步:创建自定义令牌

  1. 在「创建 API 令牌」页面,找到 「创建自定义令牌(Create Custom Token)」
  2. 点击 「开始使用(Get started)」
  3. 「令牌名称(Token name)」 中填写一个便于识别的名字,例如:TG-FF

接下来进入权限配置页面。

第三步:配置 TG-FF 最小权限

3.1 设置权限范围

「权限策略(Permissions)」 区域:

  1. 点击 「+ 添加策略(Add)」(如页面尚未显示策略行)
  2. 第一个下拉框选择 「Account(账户)」
  3. 第二个下拉框选择 「整个账户(All accounts)」

3.2 勾选 D1 权限(Developer Platform)

  1. 在权限列表中找到 「Developer Platform(开发者平台)」 并展开
  2. 找到 D1,同时勾选 ReadEdit

勾选 D1 的 Read 与 Edit 权限

3.3 勾选 DNS 相关权限(DNS & Zones)

  1. 找到 「DNS & Zones(DNS 与区域)」 分类并展开

  2. 仅勾选以下两项的 Read(不需要 Edit):

  3. Account DNS Settings → 只勾选 Read

  4. DNS View → 只勾选 Read

  5. 不要 勾选 DNS Firewall、Registrar Domains 等其他项

勾选 DNS 相关 Read 权限

3.4 勾选 Workers 与 R2 权限(Developer Platform)

回到 Developer Platform 分类,继续勾选以下 5 项,每一项都需 Read + Edit

  • Workers CI
  • Workers Containers
  • Workers KV Storage
  • Workers R2 Storage
  • Workers Scripts

勾选 Workers 与 R2 相关最小权限

请仔细核对

  • 严格按上文 「TG-FF 所需的最小权限集」 表格勾选,共 8 项
  • DNS 类只选 Read;Developer Platform 类必须 Read + Edit 都选
  • 缺少任一权限可能导致 TG-FF 功能异常

第四步:设置过期时间并提交审核

权限配置完成后,向下滑动页面:

4.1 令牌过期时间

「令牌过期时间(Token expiration)」 中,选择 「无过期时间(No expiration)」

若你更关注安全,也可以自行选择 90 天或 1 年,但到期后需要在 TG-FF 中更新 Token。

4.2 客户端 IP 过滤(可选)

「客户端 IP 地址过滤」 可以留空,不填写即可。
只有在你希望 Token 只能从固定 IP 使用时,才需要配置。

4.3 点击审核令牌

确认无误后,点击 「审核令牌(Review Token)」

设置无过期时间并点击审核令牌

第五步:核对摘要并创建令牌

进入 「令牌摘要(Token Summary)」 页面后,请逐项核对:

检查项 预期值
过期时间 无过期时间
权限范围 整个账户
DNS 权限 Account DNS Settings Read、DNS View Read
Developer Platform 权限 D1、Workers CI、Containers、KV、R2 Storage、Scripts 均为 Read + Edit
IP 过滤 允许所有 IP 地址(或未设置)

核对无误后,点击 「创建令牌(Create Token)」

核对令牌摘要并创建令牌

第六步:复制 Account ID 与 Token

创建成功后,页面会显示 「令牌创建成功」

  1. 点击 「帐户 ID(Account ID)」 右侧的 复制按钮,保存 Account ID
  2. 阅读黄色提示:Token 只显示一次,请立即复制
  3. 点击 「您的 API 令牌(Your API Token)」 右侧的 复制按钮,保存 Token
  4. 确认已保存后,点击 「Confirm(确认)」 关闭页面

复制 Account ID 和 API Token

Token 只显示一次

关闭页面后将 无法再次查看完整 Token。若遗失,只能删除旧 Token 并重新创建。

在 TG-FF 中填写

将第六步复制的信息填入 TG-FF 的 Cloudflare 配置项:

配置项 说明
Account ID 在创建成功页直接复制(见上图)
API Token 在创建成功页直接复制(见上图)

Account ID 与 API Token 是两项不同内容,请勿混淆或填反。

常见问题

DNS 权限为什么只选 Read,不选 Edit?

TG-FF 只需要 读取 DNS 配置与视图信息,不需要修改 DNS 记录。因此 Account DNS Settings 和 DNS View 只勾选 Read 即可,这是最小权限原则。

能不能直接用「Global API Key」?

不建议。Global API Key 权限过大,一旦泄露风险很高。请按本教程创建 权限最小的 API Token

TG-FF 提示权限不足怎么办?

  1. 回到 Cloudflare 控制台,打开该 Token 的权限详情
  2. 对照本文 「TG-FF 所需的最小权限集」 表格逐项检查
  3. 确认 8 项权限均已正确配置(DNS 2 项 Read;Developer Platform 6 项 Read + Edit)
  4. 若仍报错,删除 Token 后按教程重新创建

可以创建多个 Token 吗?

可以。建议为 TG-FF 单独创建一个 Token,便于日后撤销或轮换,不影响其他用途。

Token 泄露了怎么办?

  1. 立即在 账户 API 令牌 页面 撤销(Revoke) 该 Token
  2. 按本教程重新创建新 Token
  3. 在 TG-FF 中更新为新 Token

界面是英文的怎么办?

Cloudflare 控制台可在账户设置中将语言切换为 简体中文,菜单名称与本文截图一致。

流程回顾

flowchart LR
    A[进入账户 API 令牌] --> B[创建自定义令牌]
    B --> C[配置 DNS 与 Developer 权限]
    C --> D[设置过期时间并审核]
    D --> E[核对摘要并创建]
    E --> F[复制 Account ID 与 Token]

按以上步骤操作,你就能为 TG-FF 创建安全、够用的 Cloudflare API Token。若尚未开通 R2,请先阅读 R2 开通教程;若需要域名,可参考 免费域名托管教程。遇到问题可加入 TG-FF 用户交流群 交流。