Appearance
认证配置
Claude Code 支持多种认证方式,从个人订阅到企业 SSO 都有覆盖。
基础登录
安装 Claude Code 后,在任意目录运行 claude。首次启动会打开浏览器登录窗口。
如果浏览器没有自动打开,按 c 复制登录 URL,粘贴到浏览器。
支持的账号类型:
| 账号类型 | 说明 |
|---|---|
| Claude Pro/Max 个人订阅 | 用 claude.ai 账号登录,订阅地址:claude.com/pricing |
| Claude for Teams/Enterprise | 用团队管理员邀请的 claude.ai 账号登录 |
| Claude Console | 用 Console 凭证登录(需管理员邀请) |
| 云服务商 | 设置环境变量(Bedrock/Vertex/Foundry),无需浏览器登录 |
退出登录:在 Claude Code 提示符里输入 /logout。
团队认证方式
Claude for Teams / Enterprise(推荐)
最适合大多数团队,成员同时获得 Claude Code 和 Claude Web 权限,统一计费和管理。
Teams vs Enterprise:
| 特性 | Teams | Enterprise |
|---|---|---|
| 自助订阅 | ✅ | - |
| 团队协作 + 管理工具 | ✅ | ✅ |
| SSO | - | ✅ |
| 域名捕获 | - | ✅ |
| 基于角色的权限 | - | ✅ |
| 合规 API | - | ✅ |
| 托管 policy 设置 | - | ✅ |
设置步骤:
- 订阅 Claude for Teams 或联系销售购买 Enterprise
- 在管理员仪表板邀请团队成员
- 成员安装 Claude Code 并用 claude.ai 账号登录
Claude Console API 认证
适合偏好 API 计费方式的组织。
设置步骤:
使用现有 Console 账号或创建新账号
添加用户(两种方式):
- Console 后台批量邀请:Settings → Members → Invite
- 设置 SSO
分配角色:
- Claude Code 角色:只能创建 Claude Code API key
- Developer 角色:可以创建任意类型 API key
每个被邀请的用户需要:
- 接受 Console 邀请
- 检查系统要求
- 安装 Claude Code
- 用 Console 账号登录
第三方云服务商
支持 Amazon Bedrock、Google Vertex AI、Microsoft Foundry,参见各自的配置文档:
配置好后,把环境变量和生成云凭证的操作指南分发给用户。
凭证管理
存储位置
| 平台 | 位置 |
|---|---|
| macOS | 加密的 macOS Keychain |
| Linux | ~/.claude/.credentials.json(或 $CLAUDE_CONFIG_DIR/.credentials.json),权限 0600 |
| Windows | ~/.claude/.credentials.json,继承用户目录的访问控制 |
支持的认证类型
- Claude.ai 凭证
- Claude API 凭证
- Azure Auth
- Bedrock Auth
- Vertex Auth
自定义凭证脚本(apiKeyHelper)
apiKeyHelper 设置可以配置一个 shell 脚本,运行后返回 API key。适合动态或轮换凭证(如从 vault 获取短期 token)。
json
{
"apiKeyHelper": "~/.claude/get-api-key.sh"
}- 默认每 5 分钟或 HTTP 401 时调用一次
- 自定义刷新间隔:设置环境变量
CLAUDE_CODE_API_KEY_HELPER_TTL_MS - 如果脚本超过 10 秒才返回,Claude Code 会在提示栏显示警告
apiKeyHelper、ANTHROPIC_API_KEY、ANTHROPIC_AUTH_TOKEN仅适用于终端 CLI 会话。Claude Desktop 和远程会话只使用 OAuth,不调用这些设置。
认证优先级
同时存在多种凭证时,Claude Code 按以下顺序选择(从高到低):
- 云服务商凭证:设置了
CLAUDE_CODE_USE_BEDROCK、CLAUDE_CODE_USE_VERTEX或CLAUDE_CODE_USE_FOUNDRY时优先使用 ANTHROPIC_AUTH_TOKEN环境变量:作为Authorization: Bearer头发送,适合通过 LLM Gateway 或代理 路由时使用ANTHROPIC_API_KEY环境变量:作为X-Api-Key头发送,用于直接 Anthropic API 访问- 交互模式:首次使用时提示确认,选择会被记住;后续可在
/config的"Use custom API key"切换 - 非交互模式(
-p):有 key 时始终使用
- 交互模式:首次使用时提示确认,选择会被记住;后续可在
apiKeyHelper脚本输出:用于动态/轮换凭证- 订阅 OAuth 凭证(
/login):Claude Pro、Max、Team、Enterprise 用户的默认方式
常见问题:如果有活跃的 Claude 订阅但同时设置了 ANTHROPIC_API_KEY,API key 优先。如果 key 所属的组织被禁用或过期,会导致认证失败。解决方法:unset ANTHROPIC_API_KEY,然后用 /status 确认当前使用哪种认证方式。
相关文档
- 安装配置 — 安装步骤和系统要求
- 第三方集成 — 企业部署概览
- LLM Gateway — 通过代理路由 API 请求
- 故障排查 — 认证问题排查