Autenticação e autorização

O acesso à API está protegido para garantir que apenas clientes autenticados e autorizados possam interagir com os recursos disponíveis.

Esta seção descreve como se autenticar usando a chave de API e como os controles de autorização são aplicados.

Autenticação

A API usa um mecanismo de autenticação baseado em chave de API.

Todas as solicitações devem incluir a chave no cabeçalho Authorization usando o esquema Bearer:

Autorização: Portador <api_key>

Embora o esquema Bearer seja usado, o valor corresponde diretamente a uma chave de API gerada no Portal, e não a um token obtido através de um processo adicional de autenticação.

Chave de API

• É o único mecanismo de autenticação disponível.
• Deve ser enviada em todas as solicitações.
• Identifica o usuário, seu papel e a organização à qual pertence.

Gerar uma chave de API

Para criar esta chave, é necessário que o usuário tenha papel de Administrador de organização.

1. Acessar Portal.

   

2. No menu lateral, clique em Configuração → Organização.

3. Selecionar a aba Chaves de API.

   

4. Clique em Criar chave de API.

5. Preencha o formulário.

   

• Nome. Identificador da chave API.
• Papel. Papel atribuído ao usuário no Portal.
• Duração. Tempo de validade da chave.

6. Confirme com Salvar.

Autorização

O acesso aos recursos da API é controlado por um sistema de autorização baseado em papéis.

A autorização é aplicada em diferentes níveis:

1. Nível de endpoint: determina quais papéis podem acessar cada endpoint.
2. Nível de ação: restringe operações específicas (por exemplo, ações de modificação ou exclusão) com base nas permissões do usuário.

nota

O acesso aos recursos depende das permissões do usuário definidas no Portal. Nem todos os endpoints estão disponíveis para todos os papéis.

Boas práticas

• Mantenha a chave de API segura.
• Gere novas chaves periodicamente.
• Revogue chaves comprometidas.