Аутентификация¶
Каждый запрос к Compliance API требует двух HTTP-заголовков — оба выдаются вашему продукту в портале продукта.
| Заголовок | Назначение |
|---|---|
X-Api-Key |
Идентифицирует ваш продукт |
X-Api-Secret |
Аутентифицирует запрос |
Оба значения — это случайные 32-байтные секреты, закодированные в base64. Обращайтесь с ними как с паролями: храните в secret manager, никогда не коммитьте в систему контроля версий, ротируйте при утечке.
Пример¶
curl https://api.your-platform.example/v1/applicants \
-H "X-Api-Key: $API_KEY" \
-H "X-Api-Secret: $API_SECRET"
Выпуск и ротация credentials¶
API-ключи выпускаются в портале продукта в разделе Developer → API Credentials. Там можно:
- Создать новую пару ключ/секрет. Секрет показывается ровно один раз при создании — сразу скопируйте его в secret manager.
- Ротировать существующую пару — генерируются новые значения; старая пара перестаёт работать. Для ротации без простоя создайте вторую пару, переведите вызовы на неё, затем деактивируйте оригинальную.
- Деактивировать любой ключ — он перестаёт работать с первого следующего запроса.
Что происходит с неверными credentials¶
| Симптом | Причина |
|---|---|
401 Unauthorized с "X-Api-Key and X-Api-Secret headers are required" |
Один или оба заголовка отсутствуют. |
401 Unauthorized с "Invalid API credentials" |
Значения заголовков не совпадают с активной парой (деактивирована, опечатка, никогда не выпускалась). |
403 Forbidden |
Credentials валидные, но ваш продукт не имеет доступа к запрашиваемому ресурсу (например, заявитель из другого продукта). |
См. Обработку ошибок для полного списка кодов статусов и того, как клиенту реагировать.