Skip to Content
Elido is in closed beta — APIs are stable but rate-limits and quotas may change before GA. Request access →
Автентифікація

Автентифікація

Elido API підтримує три типи облікових даних. Виберіть той, що відповідає суб’єкту, від імені якого ви робите запит.

Особисті токени доступу (PAT)

Токени, обмежені одним користувачем. Створюються в Settings → API Tokens на інформаційній панелі. Найкраще підходять для разових скриптів та особистої автоматизації.

Authorization: Bearer pat_a1b2c3d4...

PAT успадковують членство в робочих просторах та ролі користувача. Їх можна відкликати окремо для кожного токена, не впливаючи на інші токени або сесію користувача.

API-ключі робочого простору

Токени, обмежені робочим простором, а не користувачем. Створюються в Settings → Integrations → API Keys. Найкраще підходять для бекенд-сервісів та продуктових інтеграцій, оскільки вони не залежать від зміни персоналу.

Authorization: Bearer wsk_a1b2c3d4...

API-ключі робочого простору обмежені ролями - призначайте мінімальну роль, необхідну для роботи інтеграції. Ключ із роллю viewer може читати посилання та аналітику, але не може створювати або змінювати їх.

OAuth2 (сторонні застосунки)

Застосунки, встановлені з маркетплейсу інтеграцій, використовують OAuth2 authorization-code flow. Області доступу (scopes) є деталізованими:

Область доступуДозволяє
links:readПереглядати список та читати посилання
links:writeСтворювати, оновлювати, архівувати посилання
analytics:readЧитати аналітику кліків
webhooks:manageПідписуватися на вебхуки та керувати їхніми кінцевими точками
members:manageЗапрошувати, видаляти користувачів, змінювати ролі
billing:readЧитати інвойси та статус підписки

Потік OAuth відповідає RFC 6749 з PKCE. Кінцеві точки задокументовані в розділі Authorization довідника API.

Ротація

  • PAT та API-ключі робочого простору є незмінними: ротація відбувається шляхом створення нового ключа та відкликання старого.
  • Токени OAuth мають access token на 1 годину + refresh token на 90 днів. Refresh-токени змінюються при кожному використанні (ротація refresh-токенів згідно з RFC 6749 §10.4).

Що може піти не так

СтатусПричина
401 UnauthorizedЗаголовок відсутній, токен відкликано або термін його дії закінчився
403 ForbiddenТокен справжній, але суб’єкту не вистачає ролі/області доступу
429 Too Many RequestsЛіміт запитів - див. Rate Limits

Помилки повертаються в стандартній оболонці - див. Errors.