Autentizace

Jak vytvořit API klíč

API klíče se spravují přímo v XDENT v sekci Můj účet → Správa API.

Správu API klíčů může provádět pouze administrátorský účet.

V rámci společnosti lze mít více klíčů, pro různé aplikace iteragující s API.
Klíč lze deaktivovat nebo smazat bez dopadu na ostatní klíče.

Upozornění

Nikdy neukládejte API klíč přímo do zdrojového kódu aplikace.
Používejte proměnné prostředí nebo secret manager.

Každé chráněné volání musí obsahovat hlavičku X-Api-Key:

http

GET /api/v1/Identity
X-Api-Key: YOUR_API_KEY

Bez této hlavičky API vrátí chybu 400.

Klíč posílejte ve formátu KeyId.Secret.

Pokud pošlete pouze KeyId bez Secret, API vrátí chybu 401 s kódem SECRET_REQUIRED.

Volitelná funkce, která omezuje provoz jen na povolené IP adresy.

Nastavuje se v XDENT v sekci Správa API zapnutím přepínače IP Autorizace a přidáním povolených IPv4 nebo IPv6 adres.

Co to znamená pro integraci:

Pokud je IP autorizace zapnutá, volání z nepovolené IP adresy skončí chybou 403.
Doporučujeme přidat jen IP adresy vašeho produkčního prostředí (servery, NAT gateway).

Upozornění

Přidání nebo odebrání IP adresy se projeví do 5 minut.
Autorizace se neaplikuje dokud není přidána alespoň jedna IP adresa.

HTTP status	Kód chyby	Popis
`400`	`MISSING_API_KEY`	Hlavička `X-Api-Key` chybí
`401`	`INVALID_API_KEY`	Klíč neexistuje nebo je neplatný
`401`	`SECRET_REQUIRED`	Chybí tajná část klíče (očekává se `KeyId.Secret`)
`401`	`INVALID_SECRET`	Tajná část klíče je neplatná
`401`	`COMPANY_API_DISABLED`	API přístup je pro vaši společnost deaktivovaný
`401`	`API_KEY_DISABLED`	Konkrétní klíč je deaktivovaný
`403`	`IP_NOT_AUTHORIZED`	Přístup zablokovaný z důvodu IP autorizace

Chybová odpověď má vždy strukturu:

json

{
  "Code": "INVALID_API_KEY",
  "Message": "Popis chyby"
}

Klíč neukládejte do klientského kódu.
V produkci používejte proměnné prostředí nebo secret manager.
Používejte IP autorizaci, pokud máte pevné IP adresy, ze kterých budete API používat.