Автентифікація
Elido API підтримує три типи облікових даних. Виберіть той, що відповідає суб’єкту, від імені якого ви робите запит.
Особисті токени доступу (PAT)
Токени, обмежені одним користувачем. Створюються в Settings → API Tokens на інформаційній панелі. Найкраще підходять для разових скриптів та особистої автоматизації.
Authorization: Bearer pat_a1b2c3d4...PAT успадковують членство в робочих просторах та ролі користувача. Їх можна відкликати окремо для кожного токена, не впливаючи на інші токени або сесію користувача.
API-ключі робочого простору
Токени, обмежені робочим простором, а не користувачем. Створюються в Settings → Integrations → API Keys. Найкраще підходять для бекенд-сервісів та продуктових інтеграцій, оскільки вони не залежать від зміни персоналу.
Authorization: Bearer wsk_a1b2c3d4...API-ключі робочого простору обмежені ролями - призначайте мінімальну роль, необхідну для роботи інтеграції. Ключ із роллю viewer може читати посилання та аналітику, але не може створювати або змінювати їх.
OAuth2 (сторонні застосунки)
Застосунки, встановлені з маркетплейсу інтеграцій, використовують OAuth2 authorization-code flow. Області доступу (scopes) є деталізованими:
| Область доступу | Дозволяє |
|---|---|
links:read | Переглядати список та читати посилання |
links:write | Створювати, оновлювати, архівувати посилання |
analytics:read | Читати аналітику кліків |
webhooks:manage | Підписуватися на вебхуки та керувати їхніми кінцевими точками |
members:manage | Запрошувати, видаляти користувачів, змінювати ролі |
billing:read | Читати інвойси та статус підписки |
Потік OAuth відповідає RFC 6749 з PKCE. Кінцеві точки задокументовані в розділі Authorization довідника API.
Ротація
- PAT та API-ключі робочого простору є незмінними: ротація відбувається шляхом створення нового ключа та відкликання старого.
- Токени OAuth мають access token на 1 годину + refresh token на 90 днів. Refresh-токени змінюються при кожному використанні (ротація refresh-токенів згідно з RFC 6749 §10.4).
Що може піти не так
| Статус | Причина |
|---|---|
401 Unauthorized | Заголовок відсутній, токен відкликано або термін його дії закінчився |
403 Forbidden | Токен справжній, але суб’єкту не вистачає ролі/області доступу |
429 Too Many Requests | Ліміт запитів - див. Rate Limits |
Помилки повертаються в стандартній оболонці - див. Errors.