Conceitos

Autenticação

Como autenticar requisições na API v1 com um Bearer token, formato do token e endpoints públicos.

A API v1 é server-to-server e autentica por Bearer token. Como o uso é back-end a back-end, a API não emite CORS — não chame esses endpoints diretamente do navegador.

Bearer token

Envie o token no header Authorization de cada requisição autenticada:

HTTP
Authorization: Bearer av_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Exemplo com cURL:

cURL
curl https://avatrix.io/api/v1/credits \
  -H "Authorization: Bearer av_xxxxxxxxxxxxxxxx"

Sem header válido, a resposta é 401 UNAUTHORIZED. Com token válido mas sem o escopo necessário, é 403 FORBIDDEN.

Formato do token

  • O token tem o formato av_<64 hex> (67 caracteres no total).
  • É exibido uma única vez, no momento da criação. Guarde-o com segurança — por segurança, não é possível recuperá-lo depois.

Gestão de tokens

A criação, listagem e revogação de tokens é feita pelo usuário logado no painel, em /account/tokens — não pela própria API. Por isso não existem endpoints de gestão de tokens nesta referência pública.

No painel você pode:

  • Criar um token, escolhendo um nome, os escopos e uma data de expiração opcional. O token (e o webhook token) são exibidos uma única vez.
  • Listar os tokens ativos e ver o log de uso de cada um.
  • Revogar um token a qualquer momento.

Guarde o token assim que ele for exibido: por segurança, ele não pode ser recuperado depois. Se perder, revogue e crie um novo.

Endpoints públicos

Alguns poucos endpoints não exigem Bearer token:

  • GET /api/v1/plans — planos e packs de crédito disponíveis para compra.
  • GET /api/v1/health — health check desta API.

Todos os demais exigem token + escopo.

Rate limit

Cada token é limitado a 60 requisições por minuto. Ao estourar, a resposta é 429 RATE_LIMITED com o header Retry-After. Ver Rate limit & concorrência.