Перейти до основного вмісту

Доступ і авторизація API

API Skynum використовує Personal API Tokens. Токен належить конкретному користувачу й передається в кожному запиті.

Кому доступний API

API вмикається за запитом і доступний для тарифу Компанія.

Якщо API потрібно протестувати під час пробного періоду або розробити партнерську інтеграцію, зверніться до команди Skynum. Для партнерських інтеграцій може використовуватися окремий партнерський токен.

Окремий користувач для інтеграції

Перед запуском інтеграції створіть окремого користувача не з правами адміністратора.

Це потрібно для безпеки:

  • інтеграція працює від імені окремого користувача;
  • права можна обмежити роллю;
  • токен можна скинути без зміни доступів інших користувачів;
  • в історії дій зрозуміліше, які зміни зробила інтеграція.
попередження

Не використовуйте адміністратора для API-запитів. Адміністратори не допускаються до API-запитів з міркувань безпеки.

Де створити токен

У платформі відкрийте користувача й згенеруйте API token.

Шлях у налаштуваннях:

Налаштування → Користувачі → Користувачі компанії → API token

Токен показується тільки один раз одразу після генерації. Збережіть його в захищеному сховищі.

Якщо токен скинути, попередній токен одразу стає недійсним.

Як передавати токен

Кожен API-запит має містити заголовок:

Authorization: Bearer <YOUR_API_TOKEN>

Також для JSON-запитів використовуйте:

Content-Type: application/json

Усі запити мають використовувати UTF-8.

Партнерський токен

Для партнерських інтеграцій може використовуватися заголовок:

x-partner-token

Цей заголовок використовується для партнерських інтеграцій, коли команда Skynum надала спеціальний партнерський токен. Звичайним клієнтським інтеграціям не потрібно самостійно вигадувати або підставляти це значення.

Безпечне зберігання токена

Токен дає доступ до даних компанії в межах прав користувача. Тому його не можна:

  • передавати у відкритому чаті;
  • зберігати в публічному репозиторії;
  • вставляти в клієнтський JavaScript на сайті;
  • надсилати стороннім сервісам без потреби;
  • використовувати в документації або прикладах як реальний ключ.
Порада

Для інтеграції створюйте окремого технічного користувача й роль із мінімально необхідними правами. Так простіше контролювати доступ і безпечно вимкнути інтеграцію, якщо токен потрапив не туди.

Якщо токен втрачено або скомпрометовано

  1. Відкрийте користувача інтеграції.
  2. Скиньте API token.
  3. Збережіть новий токен у захищеному сховищі.
  4. Оновіть налаштування інтеграції.
  5. Перевірте, що старий токен більше не використовується.

Підсумок

API-запити авторизуються персональним токеном користувача. Для інтеграцій потрібно створювати окремого не-адмін користувача, обмежувати його роль і зберігати токен так само уважно, як пароль.

Останнє оновлення