Autenticação
Toda chamada à API precisa do header:
Authorization: Bearer SEU_TOKEN
O token é um Personal Access Token (PAT) com 64 caracteres hex. O servidor
armazena somente o sha256 — o plain text só aparece no momento da criação.
Gerenciando tokens
Pelo painel de tokens você pode:
- Criar um novo token (com nome descritivo pra rastrear qual app está usando).
- Revogar um token existente. A revogação é instantânea — chamadas com o token
passam a retornar
401 TOKEN_REVOGADO. - Ver quando cada token foi usado pela última vez.
Boas práticas
- Um token por aplicação: facilita rotação e debug. Se uma aplicação for comprometida, você revoga só o token dela.
- Não commit tokens em repositório git. Use
.env+ variáveis de ambiente. - Rotação periódica: a cada 6-12 meses, gere um novo token, atualize na aplicação, depois revogue o antigo.
- Escopos no futuro: hoje todos os tokens têm scope
API. Em versões futuras vamos permitir tokens read-only, somente-monitoramento, etc.
Erros de auth
| Status | Code | Quando acontece |
|---|---|---|
| 401 | TOKEN_AUSENTE | Header Authorization ausente ou sem prefixo Bearer |
| 401 | TOKEN_INVALIDO | Token não bate com nenhum hash no servidor |
| 401 | TOKEN_EXPIRADO | Token tem expires_at no passado |
Resposta do erro:
{
"code": "TOKEN_INVALIDO",
"message": "Token inválido ou revogado."
}
Próximo
- Sua primeira requisição com cURL, Python e Node.