Comece aqui

Autenticação

Toda requisição à API do Gabinete360 é autenticada com uma chave de API com escopo de organização. Não há sessões nem fluxos OAuth para a API REST — apenas a chave.

Token Bearer

Passe sua chave no cabeçalho Authorization usando o esquema Bearer. Este é o método recomendado e funciona em qualquer lugar.

curl https://gabinete360.ia.br/api/v1/projects \
  -H "Authorization: Bearer argos_ak_live_••••••"

Cabeçalho x-api-key

Como alternativa, envie a chave bruta no cabeçalho x-api-key — prático para ferramentas que não deixam você definir um cabeçalho Authorization.

cURL

curl https://gabinete360.ia.br/api/v1/projects \
  -H "x-api-key: argos_ak_live_••••••"

Formato da chave

Uma chave tem o formato <prefix>_<secret>. O prefix é um identificador público armazenado em texto puro e usado para localizar sua chave; o secret é um valor aleatório de 32 bytes (base64url, sem padding). O Gabinete360 armazena apenas sha256(fullKey) — a chave completa é mostrada a você exatamente uma vez, na criação.

Trate as chaves como senhas

Qualquer pessoa com sua chave pode ler e escrever seus projetos, alvos e eventos. Nunca faça commit de chaves no controle de versão nem as exponha em código do lado do cliente. Use-as apenas a partir do seu servidor.

Rotacionar e revogar

Gerencie as chaves no painel em Configurações → Chaves de API. Para rotacionar, crie uma nova chave, implante-a e então revogue a antiga. A revogação tem efeito imediato — uma chave revogada ou expirada retorna 403 forbidden.

Erros de autenticação

Chaves ausentes, malformadas, revogadas ou expiradas retornam um 403 com um corpo de erro estruturado. Uma requisição que envia o cabeçalho Authorization no esquema errado retorna 400 validation.

403 Forbidden

{
  "error": {
    "code": "forbidden",
    "message": "Invalid API key"
  }
}