Autenticação e autorização
O acesso à API está protegido para garantir que apenas clientes autenticados e autorizados possam interagir com os recursos disponíveis.
Esta seção descreve como se autenticar usando a chave de API e como os controles de autorização são aplicados.
Autenticação
A API usa um mecanismo de autenticação baseado em chave de API.
Todas as solicitações devem incluir a chave no cabeçalho Authorization usando o esquema Bearer:
Autorização: Portador <api_key>
Embora o esquema Bearer seja usado, o valor corresponde diretamente a uma chave de API gerada no Portal, e não a um token obtido através de um processo adicional de autenticação.
Chave de API
- É o único mecanismo de autenticação disponível.
- Deve ser enviada em todas as solicitações.
- Identifica o usuário, seu papel e a organização à qual pertence.
Gerar uma chave de API
Para criar esta chave, é necessário que o usuário tenha papel de Administrador de organização.
-
Acessar Portal.
-
No menu lateral, clique em
Configuração→Organização. -
Selecionar a aba
Chaves de API.
-
Clique em
Criar chave de API. -
Preencha o formulário.
- Nome. Identificador da chave API.
- Papel. Papel atribuído ao usuário no Portal.
- Duração. Tempo de validade da chave.
- Confirme com
Salvar.
Autorização
O acesso aos recursos da API é controlado por um sistema de autorização baseado em papéis.
A autorização é aplicada em diferentes níveis:
- Nível de endpoint: determina quais papéis podem acessar cada endpoint.
- Nível de ação: restringe operações específicas (por exemplo, ações de modificação ou exclusão) com base nas permissões do usuário.
O acesso aos recursos depende das permissões do usuário definidas no Portal. Nem todos os endpoints estão disponíveis para todos os papéis.
Boas práticas
- Mantenha a chave de API segura.
- Gere novas chaves periodicamente.
- Revogue chaves comprometidas.