DocumentazioneAPI key e scope
API key e scope
Creare chiavi, assegnare permessi e ruotare credenziali.
Le API key consentono accesso programmatico limitato dagli scope. Si gestiscono dal pannello o via POST /tenants/:id/api-keys (JWT).
Creare una key
- Pannello → Impostazioni → API keys → Crea
- Scegli un nome descrittivo (
prod-nextjs,staging-crm) - Seleziona solo gli scope necessari (principio del minimo privilegio)
- Copia la key per intero — viene mostrata una sola volta
Formato memorizzato: hash SHA-256 nel database; la key in chiaro non e recuperabile.
Scope disponibili
| Scope | Uso |
|---|---|
email:send | POST /emails/send, batch, programmati |
email:read | GET /emails/logs, annullare programmati |
templates:read / templates:write | Riservato; i template usano JWT nella pratica attuale |
contacts:read / contacts:write | Audience e cancellazione GDPR |
campaigns:read / campaigns:write | Campagne newsletter |
sequences:read / sequences:write | Sequenze automatiche (API) |
suppressions:read / suppressions:write | Lista di soppressione |
webhooks:manage | Endpoint webhook in uscita |
Se manca uno scope, l'API risponde 403 con messaggio Missing required API key scope.
Rotazione
- Crea una key nuova con gli stessi scope
- Aggiorna i secret nel deploy
- Revoca la key vecchia (
DELETE /tenants/:id/api-keys/:keyId)