Autenticação
Autentique pedidos à API REST do Tapeto com uma chave de API ou um token de sessão bearer.
A API REST do Tapeto (api.tapeto.dev, caminho base /api/v1) suporta dois métodos de autenticação.
Chaves de API (recomendado para integrações)
Gere uma chave a partir da sua conta (Settings → API Keys → Create). Uma chave tem o aspeto tk_live_ seguido de 40 caracteres hexadecimais.
curl https://api.tapeto.dev/api/v1/conversions \
-H "x-api-key: tk_live_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
As chaves só são mostradas uma vez
A chave completa só é devolvida no momento da criação. O Tapeto guarda um hash bcrypt, não a chave em si — se a perder, revogue-a e crie uma nova.
Comportamento das chaves:
- As chaves podem ter uma data de expiração opcional (
expires_at); chaves expiradas são rejeitadas. - Cada utilização atualiza
last_used_at, para que possa identificar chaves não usadas ou obsoletas. - Gerencie as chaves com:
GET /api/v1/auth/api-keys— lista as suas chaves (apenas o prefixo e os metadados, nunca a chave completa)POST /api/v1/auth/api-keys— cria uma chave ({ name, expires_at?, scopes? })DELETE /api/v1/auth/api-keys/:id— revoga uma chave
Tokens bearer (usados pela aplicação web)
A aplicação web do Tapeto autentica-se com um token de sessão JWT emitido pelo InsForge, enviado como um token bearer padrão:
Authorization: Bearer <token>
Este é o mesmo mecanismo que a própria aplicação web usa depois de iniciar sessão — a maioria das integrações via API deve usar uma chave de API, já que esta não expira por timeout de sessão.
Limites de taxa
Os pedidos são limitados por minuto, de acordo com o seu plano:
| Plano | Pedidos / minuto |
|---|---|
| Free | 30 |
| Starter | 60 |
| Pro | 120 |
| Agency | 200 |
| Studio | 300 |
Quando atinge o limite, a API responde com 429 e estes cabeçalhos:
X-RateLimit-Limit
X-RateLimit-Remaining
X-RateLimit-Reset
Próximo passo
Continue com a Referência de Endpoints para a API de conversões e webhooks.