跳轉至

如何爲 Cloudflare 賬號申請 API Token

TG-FF 在對接 Cloudflare R2、Workers 等服務時,需要你在控制檯創建一個 API Token,並填入軟件配置中。

本教程會教你:

  1. 進入 Cloudflare 的 API 令牌管理頁
  2. 創建 自定義令牌,只勾選 TG-FF 需要的最小權限
  3. 生成 Token 並妥善保存

安全提示

API Token 相當於賬號密鑰,不要發給他人,也不要提交到公開倉庫。Token 只在創建時完整顯示一次,丟失後需要重新創建。

開始之前,請先準備好

準備項 說明
Cloudflare 賬號 已註冊並可以登錄 控制檯
已開通 R2 若尚未開通,請先閱讀 如何註冊 Cloudflare 賬號並開通 R2 存儲
電腦瀏覽器 建議使用 Chrome、Edge 或 Safari

TG-FF 所需的最小權限集

不要 使用「編輯 Cloudflare Workers」等模板令牌,也不要勾選「所有權限」。
按下面表格逐項勾選即可,這是 TG-FF 正常運行所需的 最小權限集

權限分類 權限組 資源範圍 讀取 編輯 用途說明
DNS & Zones Account DNS Settings 整個賬戶 讀取賬戶級 DNS 設置
DNS & Zones DNS View 整個賬戶 讀取 DNS 視圖/記錄
Developer Platform D1 整個賬戶 數據庫配置與 SQL 查詢
Developer Platform Workers CI 整個賬戶 Workers CI 相關操作
Developer Platform Workers Containers 整個賬戶 Workers 容器管理
Developer Platform Workers KV Storage 整個賬戶 KV 鍵值存儲
Developer Platform Workers R2 Storage 整個賬戶 R2 對象存儲讀寫
Developer Platform Workers Scripts 整個賬戶 Workers 腳本部署與管理

8 項權限:DNS 類只需 Read,Developer Platform 類需 Read + Edit
請勿勾選 DNS Firewall、Registrar Domains 等其他無關項。

爲什麼用最小權限?

只授予 TG-FF 實際需要的權限,可以降低 Token 泄露後的風險,也避免誤操作其他 Cloudflare 服務。

第一步:進入 API 令牌頁面

  1. 登錄 Cloudflare 控制檯
  2. 點擊右上角 頭像 / 賬戶菜單
  3. 選擇 「我的個人資料(My Profile)」 或左側 「管理賬戶(Manage Account)」
  4. 在左側菜單點擊 「賬戶 API 令牌(Account API Tokens)」
  5. 點擊右上角藍色按鈕 「創建令牌(Create Token)」

進入賬戶 API 令牌頁面並點擊創建令牌

兩種 Token 的區別

  • 賬戶 API 令牌:用於管理賬戶級資源(R2、Workers 等),TG-FF 需要這種
  • 用戶 API 令牌:在「我的配置文件」中創建,本教程 不需要

第二步:創建自定義令牌

  1. 在「創建 API 令牌」頁面,找到 「創建自定義令牌(Create Custom Token)」
  2. 點擊 「開始使用(Get started)」
  3. 「令牌名稱(Token name)」 中填寫一個便於識別的名字,例如:TG-FF

接下來進入權限配置頁面。

第三步:配置 TG-FF 最小權限

3.1 設置權限範圍

「權限策略(Permissions)」 區域:

  1. 點擊 「+ 添加策略(Add)」(如頁面尚未顯示策略行)
  2. 第一個下拉框選擇 「Account(賬戶)」
  3. 第二個下拉框選擇 「整個賬戶(All accounts)」

3.2 勾選 D1 權限(Developer Platform)

  1. 在權限列表中找到 「Developer Platform(開發者平臺)」 並展開
  2. 找到 D1,同時勾選 ReadEdit

勾選 D1 的 Read 與 Edit 權限

3.3 勾選 DNS 相關權限(DNS & Zones)

  1. 找到 「DNS & Zones(DNS 與區域)」 分類並展開

  2. 僅勾選以下兩項的 Read(不需要 Edit):

  3. Account DNS Settings → 只勾選 Read

  4. DNS View → 只勾選 Read

  5. 不要 勾選 DNS Firewall、Registrar Domains 等其他項

勾選 DNS 相關 Read 權限

3.4 勾選 Workers 與 R2 權限(Developer Platform)

回到 Developer Platform 分類,繼續勾選以下 5 項,每一項都需 Read + Edit

  • Workers CI
  • Workers Containers
  • Workers KV Storage
  • Workers R2 Storage
  • Workers Scripts

勾選 Workers 與 R2 相關最小權限

請仔細覈對

  • 嚴格按上文 「TG-FF 所需的最小權限集」 表格勾選,共 8 項
  • DNS 類只選 Read;Developer Platform 類必須 Read + Edit 都選
  • 缺少任一權限可能導致 TG-FF 功能異常

第四步:設置過期時間並提交審覈

權限配置完成後,向下滑動頁面:

4.1 令牌過期時間

「令牌過期時間(Token expiration)」 中,選擇 「無過期時間(No expiration)」

若你更關注安全,也可以自行選擇 90 天或 1 年,但到期後需要在 TG-FF 中更新 Token。

4.2 客戶端 IP 過濾(可選)

「客戶端 IP 地址過濾」 可以留空,不填寫即可。
只有在你希望 Token 只能從固定 IP 使用時,才需要配置。

4.3 點擊審覈令牌

確認無誤後,點擊 「審覈令牌(Review Token)」

設置無過期時間並點擊審覈令牌

第五步:覈對摘要並創建令牌

進入 「令牌摘要(Token Summary)」 頁面後,請逐項覈對:

檢查項 預期值
過期時間 無過期時間
權限範圍 整個賬戶
DNS 權限 Account DNS Settings Read、DNS View Read
Developer Platform 權限 D1、Workers CI、Containers、KV、R2 Storage、Scripts 均爲 Read + Edit
IP 過濾 允許所有 IP 地址(或未設置)

覈對無誤後,點擊 「創建令牌(Create Token)」

覈對令牌摘要並創建令牌

第六步:複製 Account ID 與 Token

創建成功後,頁面會顯示 「令牌創建成功」

  1. 點擊 「帳戶 ID(Account ID)」 右側的 複製按鈕,保存 Account ID
  2. 閱讀黃色提示:Token 只顯示一次,請立即複製
  3. 點擊 「您的 API 令牌(Your API Token)」 右側的 複製按鈕,保存 Token
  4. 確認已保存後,點擊 「Confirm(確認)」 關閉頁面

複製 Account ID 和 API Token

Token 只顯示一次

關閉頁面後將 無法再次查看完整 Token。若遺失,只能刪除舊 Token 並重新創建。

在 TG-FF 中填寫

將第六步複製的信息填入 TG-FF 的 Cloudflare 配置項:

配置項 說明
Account ID 在創建成功頁直接複製(見上圖)
API Token 在創建成功頁直接複製(見上圖)

Account ID 與 API Token 是兩項不同內容,請勿混淆或填反。

常見問題

DNS 權限爲什麼只選 Read,不選 Edit?

TG-FF 只需要 讀取 DNS 配置與視圖信息,不需要修改 DNS 記錄。因此 Account DNS Settings 和 DNS View 只勾選 Read 即可,這是最小權限原則。

能不能直接用「Global API Key」?

不建議。Global API Key 權限過大,一旦泄露風險很高。請按本教程創建 權限最小的 API Token

TG-FF 提示權限不足怎麼辦?

  1. 回到 Cloudflare 控制檯,打開該 Token 的權限詳情
  2. 對照本文 「TG-FF 所需的最小權限集」 表格逐項檢查
  3. 確認 8 項權限均已正確配置(DNS 2 項 Read;Developer Platform 6 項 Read + Edit)
  4. 若仍報錯,刪除 Token 後按教程重新創建

可以創建多個 Token 嗎?

可以。建議爲 TG-FF 單獨創建一個 Token,便於日後撤銷或輪換,不影響其他用途。

Token 泄露了怎麼辦?

  1. 立即在 賬戶 API 令牌 頁面 撤銷(Revoke) 該 Token
  2. 按本教程重新創建新 Token
  3. 在 TG-FF 中更新爲新 Token

界面是英文的怎麼辦?

Cloudflare 控制檯可在賬戶設置中將語言切換爲 簡體中文,菜單名稱與本文截圖一致。

流程回顧

flowchart LR
    A[進入賬戶 API 令牌] --> B[創建自定義令牌]
    B --> C[配置 DNS 與 Developer 權限]
    C --> D[設置過期時間並審覈]
    D --> E[覈對摘要並創建]
    E --> F[複製 Account ID 與 Token]

按以上步驟操作,你就能爲 TG-FF 創建安全、夠用的 Cloudflare API Token。若尚未開通 R2,請先閱讀 R2 開通教程;若需要域名,可參考 免費域名託管教程。遇到問題可加入 TG-FF 用戶交流羣 交流。