跳到主要内容

凭证池

凭证池允许你为同一个提供商注册多个 API 密钥或 OAuth 令牌。当一个密钥达到速率限制或账单配额时,Hermes 会自动轮换到下一个健康的密钥——保持会话活跃而无需切换提供商。

这与备用提供商不同,后者切换到不同的提供商。凭证池是同提供商轮换;备用提供商是跨提供商故障转移。池会优先尝试——如果所有池密钥都耗尽,然后才会激活备用提供商。

工作原理

你的请求
  → 从池中选择密钥(round_robin / least_used / fill_first / random)
  → 发送到提供商
  → 429 速率限制?
      → 重试同一密钥一次(瞬时抖动)
      → 第二次 429 → 轮换到下一个池密钥
      → 所有密钥耗尽 → fallback_model(不同提供商)
  → 402 账单错误?
      → 立即轮换到下一个池密钥(24小时冷却)
  → 401 认证过期?
      → 尝试刷新令牌(OAuth)
      → 刷新失败 → 轮换到下一个池密钥
  → 成功 → 正常继续

快速开始

如果你已经在 .env 中设置了 API 密钥,Hermes 会自动将其发现为1密钥池。要从池化中受益,请添加更多密钥:

# 添加第二个 OpenRouter 密钥
hermes auth add openrouter --api-key sk-or-v1-your-second-key

# 添加第二个 Anthropic 密钥
hermes auth add anthropic --type api-key --api-key sk-ant-api03-your-second-key

# 添加 Anthropic OAuth 凭证(Claude Code 订阅)
hermes auth add anthropic --type oauth
# 打开浏览器进行 OAuth 登录

检查你的池:

hermes auth list

输出:

openrouter (2 credentials):
  #1  OPENROUTER_API_KEY   api_key env:OPENROUTER_API_KEY ←
  #2  backup-key           api_key manual

anthropic (3 credentials):
  #1  hermes_pkce          oauth   hermes_pkce ←
  #2  claude_code          oauth   claude_code
  #3  ANTHROPIC_API_KEY    api_key env:ANTHROPIC_API_KEY

标记当前选择的凭证。

交互式管理

运行 hermes auth 不带子命令会启动交互式向导:

hermes auth

这会显示你的完整池状态并提供菜单:

What would you like to do?
  1. Add a credential
  2. Remove a credential
  3. Reset cooldowns for a provider
  4. Set rotation strategy for a provider
  5. Exit

对于同时支持 API 密钥和 OAuth 的提供商(Anthropic、Nous、Codex),添加流程会询问类型:

anthropic supports both API keys and OAuth login.
  1. API key (paste a key from the provider dashboard)
  2. OAuth login (authenticate via browser)
Type [1/2]:

CLI 命令

命令描述
hermes auth交互式池管理向导
hermes auth list显示所有池和凭证
hermes auth list <provider>显示特定提供商的池
hermes auth add <provider>添加凭证(提示类型和密钥)
hermes auth add <provider> --type api-key --api-key <key>非交互式添加 API 密钥
hermes auth add <provider> --type oauth通过浏览器登录添加 OAuth 凭证
hermes auth remove <provider> <index>按1-based索引删除凭证
hermes auth reset <provider>清除所有提供商的重试/耗尽状态

轮换策略

通过 hermes auth → "设置轮换策略" 或在 config.yaml 中配置:

credential_pool_strategies:
  openrouter: round_robin
  anthropic: least_used
策略行为
fill_first(默认)使用第一个健康密钥直到耗尽,然后移动到下一个
round_robin均匀循环使用密钥,每次选择后轮换
least_used始终选择请求计数最低的密钥
random在健康密钥中随机选择

错误恢复

池对不同错误的处理方式不同:

错误行为冷却时间
429 速率限制重试同一密钥一次(瞬时)。第二次连续 429 轮换到下一个密钥1小时
402 账单/配额立即轮换到下一个密钥24小时
401 认证过期先尝试刷新 OAuth 令牌。仅在刷新失败时轮换
所有密钥耗尽如果配置了 fallback_model 则切换到该模型

has_retried_429 标志在每次成功的 API 调用时重置,因此单个瞬时 429 不会触发轮换。

自定义端点池

自定义 OpenAI 兼容端点(Together.ai、RunPod、本地服务器)获得自己的池,按 config.yamlcustom_providers 的端点名称作为键。

当你通过 hermes model 设置自定义端点时,它会自动生成类似"Together.ai"或"Local (localhost:8080)"的名称。此名称成为池键。

# 通过 hermes model 设置自定义端点后:
hermes auth list
# 显示:
#   Together.ai (1 credential):
#     #1  config key    api_key config:Together.ai ←

# 为同一端点添加第二个密钥:
hermes auth add Together.ai --api-key sk-together-second-key

自定义端点池存储在 auth.jsoncredential_pool 下,带有 custom: 前缀:

{
  "credential_pool": {
    "openrouter": [...],
    "custom:together.ai": [...]
  }
}

自动发现

Hermes 自动从多个来源发现凭证并在启动时初始化池:

来源示例自动初始化?
环境变量OPENROUTER_API_KEYANTHROPIC_API_KEY
OAuth 令牌(auth.json)Codex 设备代码、Nous 设备代码
Claude Code 凭证~/.claude/.credentials.json是(Anthropic)
Hermes PKCE OAuth~/.hermes/auth.json是(Anthropic)
自定义端点配置model.api_key 在 config.yaml是(自定义端点)
手动条目通过 hermes auth add 添加持久化在 auth.json

自动初始化的条目在每次池加载时更新——如果你删除了环境变量,其池条目会自动修剪。手动添加的条目(通过 hermes auth add)永远不会自动修剪。

委托和子代理共享

当代理通过 delegate_task 生成子代理时,父代理的凭证池会自动共享给子代理:

  • 同一提供商 — 子代理收到父代理的完整池,实现密钥轮换的速率限制恢复
  • 不同提供商 — 子代理加载该提供商自己的池(如果已配置)
  • 未配置池 — 子代理回退到继承的单个 API 密钥

这意味着子代理与父代理一样受益于相同的速率限制弹性,无需额外配置。每个任务的凭证租用确保子代理在并发轮换密钥时不会相互冲突。

线程安全

凭证池对所有状态变更(select()mark_exhausted_and_rotate()try_refresh_current()mark_used())使用线程锁。这确保了在网关同时处理多个聊天会话时的安全并发访问。

架构

有关完整数据流图,请参阅仓库中的 docs/credential-pool-flow.excalidraw

凭证池集成在提供商解析层:

  1. agent/credential_pool.py — 池管理器:存储、选择、轮换、冷却
  2. hermes_cli/auth_commands.py — CLI 命令和交互式向导
  3. hermes_cli/runtime_provider.py — 池感知的凭证解析
  4. run_agent.py — 错误恢复:429/402/401 → 池轮换 → 备用

存储

池状态存储在 ~/.hermes/auth.jsoncredential_pool 键下:

{
  "version": 1,
  "credential_pool": {
    "openrouter": [
      {
        "id": "abc123",
        "label": "OPENROUTER_API_KEY",
        "auth_type": "api_key",
        "priority": 0,
        "source": "env:OPENROUTER_API_KEY",
        "access_token": "sk-or-v1-...",
        "last_status": "ok",
        "request_count": 142
      }
    ]
  },
}

策略存储在 config.yaml(不是 auth.json):

credential_pool_strategies:
  openrouter: round_robin
  anthropic: least_used