Autenticazione
Autentica le richieste alla REST API di Tapeto con una chiave API o un token bearer di sessione.
La REST API di Tapeto (api.tapeto.dev, percorso base /api/v1) supporta due metodi di autenticazione.
Chiavi API (raccomandato per le integrazioni)
Genera una chiave dal tuo account (Settings → API Keys → Create). Una chiave ha l’aspetto di tk_live_ seguito da 40 caratteri esadecimali.
curl https://api.tapeto.dev/api/v1/conversions \
-H "x-api-key: tk_live_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
Le chiavi vengono mostrate una sola volta
La chiave completa viene restituita solo al momento della creazione. Tapeto memorizza un hash bcrypt, non la chiave stessa — se la perdi, revocala e creane una nuova.
Comportamento delle chiavi:
- Le chiavi possono avere una data di scadenza opzionale (
expires_at); le chiavi scadute vengono rifiutate. - Ogni utilizzo aggiorna
last_used_at, così puoi individuare chiavi inutilizzate o obsolete. - Gestisci le chiavi con:
GET /api/v1/auth/api-keys— elenca le tue chiavi (solo il prefisso e i metadati, mai la chiave completa)POST /api/v1/auth/api-keys— crea una chiave ({ name, expires_at?, scopes? })DELETE /api/v1/auth/api-keys/:id— revoca una chiave
Token bearer (usati dall’app web)
L’app web di Tapeto si autentica con un token di sessione JWT emesso da InsForge, inviato come token bearer standard:
Authorization: Bearer <token>
Questo è lo stesso meccanismo che l’app web stessa usa dopo l’accesso — la maggior parte delle integrazioni API dovrebbe usare invece una chiave API, poiché non scade per timeout di sessione.
Limiti di frequenza
Le richieste sono limitate al minuto, in base al tuo piano:
| Piano | Richieste / minuto |
|---|---|
| Free | 30 |
| Starter | 60 |
| Pro | 120 |
| Agency | 200 |
| Studio | 300 |
Quando raggiungi il limite, l’API risponde con 429 e questi header:
X-RateLimit-Limit
X-RateLimit-Remaining
X-RateLimit-Reset
Passo successivo
Continua con il Riferimento Endpoint per l’API delle conversioni e dei webhook.