# 用户访问令牌使用 Zenlayer API 或命令行时，可使用用户访问令牌替代密码向 Zenlayer Cloud 进行身份验证。在发出请求时，您需要使用访问令牌对请求进行身份验证。与密码类似，用户访问令牌（也称为“API密钥”或“访问令牌”）标识向API发出请求的实体，以及实体可以通过其作用域和权限执行的操作。 {% hint style="info" %} **请记住，您的用户访问令牌是秘密！**请勿与他人共享或在任何客户端代码（浏览器、应用程序）中公开它。生产请求必须通过您自己的后端服务器进行路由，在该服务器中，您的 API 密钥可以从环境变量或密钥管理服务安全地加载。 {% endhint %} ### 创建一个用户访问令牌 1. 通过访问**密钥 > 令牌**进入\\

2. 点击生成令牌

3. 为你的令牌选择一个用户并设置一个名称\\

4. 点击生成并复制出令牌\\

### 使用令牌访问API 创建令牌后，可以通过在请求的 `Authorization` 标头中发送令牌来对请求进行身份验证。下面通过cURL来访问BMC的`DescribeInstances`接口作为示例：

export ACCESS_TOKEN="your_user_access_token"

curl https://console.zenlayer.com/api/v2/bmc \
 -H "Content-Type: application/json" \
 -H "X-ZC-Action: DescribeInstances" \
 -H "Authorization: Bearer $ACCESS_TOKEN" \
 -d '{
       "pageNum": 1,
       "pageSize": 2
    }'