Motivation MoneyAPI 密钥设置
为操作员、员工和 AI 智能体创建和配置 API 密钥。
API 密钥认证所有对 Motivation Money 的程序化访问——无论通过 REST API、CLI 还是 AI 智能体。密钥的作用域与您的角色对应,因此操作员密钥可以执行仪表盘中的所有操作,而员工密钥仅限于自助服务操作。
创建 API 密钥
- 登录 Motivation Money,前往 Settings
- 选择 API Keys 标签(仅管理员和所有者可见)
- 点击 Create API Key
- 输入名称(例如 "Claude Code - 薪资运营"、"我的 CLI 密钥")
- 选择作用域——选择单个作用域或切换 Full Access 获取
* - 设置过期时间——7、30、90 或 365 天(或永不过期)
- 点击 Create——完整密钥(
mpk_live_...)仅显示一次。请复制并妥善保管。
此步骤后无法再次获取完整密钥。 如果丢失,请撤销密钥并创建新密钥。
密钥格式
mpk_live_a1b2c3d4e5f6a1b2c3d4e5f6a1b2c3d4mpk_live_— 标识此为生产密钥的前缀- 后跟 32 个十六进制字符
- 前缀(前 12 个字符)在仪表盘中可见,用于识别
操作员路径(管理员 / 所有者)
操作员管理薪资发放、员工、资金库和设置。操作员密钥应携带与您仪表盘权限匹配的作用域。
按用例推荐的作用域
完全操作员访问(等同于仪表盘):
payroll:read, payroll:write, payroll:execute,
employees:read, employees:write,
treasury:read, audit:read,
settings:read, webhooks:manage, jobs:read或直接使用 * 获取完全访问权限。
仅薪资发放操作员(可创建和执行批次,但不能修改团队或设置):
payroll:read, payroll:write, payroll:execute,
employees:read, treasury:read, jobs:read只读操作员(监控和报告,无写入权限):
payroll:read, employees:read, treasury:read, audit:read, jobs:read使用密钥
REST API:
curl https://money.motivationlabs.ai/api/v1/runs \
-H "Authorization: Bearer mpk_live_<your-key>"CLI:
mp auth login --key mpk_live_<your-key>
mp runs listClaude Code(通过 CLI):
# Claude Code 认证后可直接使用 mp CLI
mp auth login --key mpk_live_<your-key>
mp runs list -f json
mp team list -f json
mp treasury balance -f json员工路径
员工拥有有限的视图——可以查看自己的个人资料和支付历史,但无法访问其他员工的数据或执行操作员操作。
可用作用域
员工密钥仅限于:
| 作用域 | 允许的操作 |
|---|---|
employees:read | 查看自己的个人资料(姓名、钱包地址、稳定币、网络) |
jobs:read | 检查异步操作状态 |
这是员工角色可用的唯一作用域。系统强制执行此限制——即使请求更广泛的作用域,密钥也只会获得您角色允许的权限。
使用员工密钥
# 查看自己的个人资料
curl https://money.motivationlabs.ai/api/v1/employees/me \
-H "Authorization: Bearer mpk_live_<your-key>"
# 通过 CLI
mp auth login --key mpk_live_<your-key>
mp team get me员工密钥无法列出其他员工、查看薪资发放批次或访问审计日志。
会计路径
会计拥有广泛的读取权限,可以创建薪资发放批次,但无法确认/执行批次或修改组织设置。
可用作用域
| 作用域 | 会计访问权限 |
|---|---|
payroll:read | 查看所有批次和付款 |
payroll:write | 创建批次和调整项 |
payroll:execute | 不可用 — 需要管理员/所有者 |
employees:read | 查看团队成员 |
employees:write | 添加和更新员工 |
treasury:read | 查看余额和转账 |
audit:read | 查看和导出审计日志 |
settings:read | 查看设置(只读) |
典型会计密钥
payroll:read, payroll:write,
employees:read, employees:write,
treasury:read, audit:read, settings:read, jobs:read会计可以准备薪资发放的一切——创建批次、审查付款、检查余额——但必须由管理员或所有者确认和执行。
AI 智能体密钥
对于 AI 智能体(Claude Code、GPT、自定义自动化),创建具有最小所需作用域的专用密钥。详细建议请参阅 AI 智能体集成指南。
| 智能体角色 | 推荐作用域 |
|---|---|
| 只读监控 | payroll:read、employees:read、treasury:read、audit:read |
| 薪资发放运营 | payroll:read、payroll:write、payroll:execute、employees:read、treasury:read |
| 全自动化 | *(完全访问) |
智能体密钥最佳实践:
- 描述性命名(例如 "Claude Code - 生产薪资智能体")
- 设置较短过期时间(30 或 90 天)并定期轮换
- 使用仍能完成工作流的最窄作用域
- 在审计日志中监控智能体活动——每个 API 调用都记录了密钥 ID
作用域参考
| 作用域 | 描述 |
|---|---|
payroll:read | 列出和查看薪资发放批次及付款 |
payroll:write | 创建薪资发放批次、添加调整项 |
payroll:execute | 确认、执行、取消、重试批次和付款 |
employees:read | 列出和查看员工 |
employees:write | 添加、更新、停用员工 |
treasury:read | 查看 Safe 和 CEX 余额、资金转账 |
audit:read | 查询审计日志条目 |
webhooks:manage | 创建、列出、删除 Webhook 订阅 |
settings:read | 查看组织设置 |
settings:write | 更新组织设置 |
jobs:read | 检查异步作业状态 |
通配符: payroll:* 授予所有薪资发放作用域。* 授予所有权限。
撤销密钥
- 前往 Settings > API Keys
- 通过前缀或名称找到密钥
- 点击 Revoke
- 密钥立即失效——所有使用该密钥的进行中请求将失败
已撤销的密钥出于审计目的仍显示在列表中,但无法重新激活。