Autenticação

API keys

Cada projeto tem 1+ API keys no formato pzk_live_xxxxxxxxxxxxxxxx. A chave é hashada com SHA-256 antes de salvar — só é mostrada em texto na hora da criação.

Como enviar

Em toda chamada REST, header Authorization:

GET /v1/instances HTTP/1.1
Host: api.pepinozap.com
Authorization: Bearer pzk_live_xxxxxxxxxxxxxxxx

Fallback `?token=` (só pra SSE)

Browser EventSource não permite headers customizados. Pra endpoints SSE (Server-Sent Events) como /v1/instances/{id}/qr, passe a key via query string:

GET /v1/instances/cm5x8.../qr?token=pzk_live_xxx

Use ?token= somente em SSE. Pra chamadas HTTP normais, sempre header Authorization (mais seguro, não vaza em logs do servidor).

Quando a chave é revogada

Revogar via Manager → API Keys → "Revogar"
Backend marca revoked_at na tabela api_keys
Próximas requisições com essa key recebem 401 INVALID_API_KEY
Hash não é deletado pra fins de auditoria

API keys

Como enviar

Fallback `?token=` (só pra SSE)

Quando a chave é revogada

Próximo: Sua primeira instância

On this page

Autenticação

API keys

Como enviar

Fallback ?token= (só pra SSE)

Quando a chave é revogada

Próximo: Sua primeira instância

On this page

Fallback `?token=` (só pra SSE)