Saltar para o conteúdo principal
As chaves de API permitem que scripts, ferramentas sem código e os seus próprios serviços de backend chamem a API REST do Flowella em nome da sua organização. Esta página cobre como gerir chaves a partir do ecrã in-app Configurações → Chaves API. Para saber o que a API pode fazer, consulte a Referência da API.

Quem pode gerir as chaves da API

Apenas as funções Proprietário ou Administrador podem ver Configurações → Chaves de API. Os membros não têm acesso a este ecrã e não podem chamar os pontos finais da API.

Criando uma chave de API

1

Abrir Definições → Chaves API

A partir da navegação esquerda, vá para Configurações → Chaves API.
2

Clique em Criar chave

Atribua à chave uma etiqueta que descreva para que serve (por exemplo, n8n production, analytics export script). As etiquetas são visíveis apenas dentro do Flowella - não são enviadas em pedidos API.
3

Escolher um âmbito (opcional)

Por defeito, as chaves herdam o conjunto completo de pontos finais da API disponíveis para o seu plano. Opcionalmente, pode restringir uma chave a um subconjunto de âmbitos - por exemplo, análises apenas de leitura ou mensagens: apenas envio.
4

Copiar o segredo imediatamente

O Flowella mostra o token secreto exatamente uma vez num modal de confirmação. Copie-o agora - não pode voltar a visualizá-lo. Se o perder, tem de revogar a chave e criar uma nova.
O segredo é mostrado apenas uma vez. O Flowella armazena uma cópia com hash e não pode recuperar o texto simples. Trate as chaves como palavras-passe - nunca as submeta ao controlo da fonte, nunca as cole no chat ou em documentos partilhados.

Usando uma chave

Passe a chave como um token de portador em cada pedido: 
curl https://api.flowella.io/v1/messages \
  -H "Authorization: Bearer flwl_live_..." \
  -H "Content-Type: application/json"
Consulte a Referência da API para obter detalhes do ponto final, limites de taxa e códigos de erro.

Visualizando chaves existentes

A lista Configurações → Chaves de API mostra cada chave:
  • Rótulo
  • Prefixo (primeiros oito caracteres, como flwl_live_a1b2c3) - útil para comparar com registos.
  • Escopo
  • Criado em e criado por
  • Última utilização em** - atualizado em cada pedido bem sucedido.
  • Estado** - ativo ou revogado.
O segredo em texto simples nunca é apresentado após a criação.

Rodar uma chave

Não existe rotação no local - cria uma nova chave e revoga a antiga assim que o seu serviço tiver mudado.
1

Criar um substituto

Siga o fluxo Criar acima para cunhar uma nova chave com o mesmo escopo.
2

Revelar o novo segredo

Actualize o seu serviço (ou fluxo de trabalho n8n, ambiente Postman, etc.) para utilizar o novo token portador.
3

Confirmar que a nova chave está ativa

Observe o campo Last used at da nova chave - ele é atualizado dentro de um minuto após a primeira chamada.
4

Revogar a chave antiga

Clique em Revogar na chave anterior. A partir desse momento, qualquer pedido que utilize o segredo antigo devolve 401 Unauthorized.

Revogar uma chave

Clique em Revogar na linha e, em seguida, confirme na caixa de diálogo. A revogação é imediata - os pedidos em curso que utilizam essa chave podem ser concluídos, mas o pedido seguinte devolve 401. Uma chave revogada não pode ser reactivada. A linha permanece visível na lista (a cinzento, com o carimbo de data/hora da revogação) para que tenha uma pista de auditoria.

Registo de auditoria

Cada evento de criação, revogação e (quando ativado) alteração de âmbito é escrito no registo de auditoria da organização com o seu utilizador, IP e contexto de rastreio. Se o seu plano ou contrato incluir a funcionalidade de registo de auditoria, pode rever a atividade da chave de API.

Perguntas comuns

Não existe um limite rígido nos planos hobby ou pagos, mas um número muito elevado de chaves activas (50+) dificulta a rotação e a revisão. Utilize uma chave por integração em vez de uma por programador.
As chaves não expiram automaticamente. Recomendamos a rotação das mesmas pelo menos a cada 12 meses e imediatamente se uma chave puder ter sido exposta.
Atualmente, as chaves têm o âmbito da organização, não de um canal específico. A definição do âmbito do canal está no roteiro. Entretanto, escolha o canal ativo através da carga útil ou do caminho do pedido.
Revogue-o imediatamente a partir desta página. Criar um substituto com o mesmo âmbito. Verifique o registo de auditoria para quaisquer pedidos que utilizaram a chave no tempo em que foi exposta e rode quaisquer segredos a jusante que a chave possa ter criado (por exemplo, chaves de assinatura de webhook).

Relacionado

Introdução à API

Autenticação, erros, limites de taxa e paginação.

Webhooks

Enviar eventos para os seus próprios sistemas em vez de sondar.

Equipa e funções

Apenas os proprietários e administradores podem gerir chaves API.

Segurança dos dados

Cobertura do registo de auditoria para eventos de criação/revogação de chaves.