Przejdź do treści
Dokumentacja w fazie alpha

Autoryzacja API

Jak uzyskać klucz API i autoryzować zapytania.

Ostatnia aktualizacja: 2026-07-03

Generowanie klucza API

Przejdź do Ustawienia → Klucze API (sekcja widoczna dla administratora). Wpisz nazwę klucza (np. 'Formularz na stronie') i kliknij 'Wygeneruj'. Otrzymasz klucz zaczynający się od 'bp_live_'. Skopiuj go od razu - ze względów bezpieczeństwa nie będzie można go zobaczyć ponownie (w bazie trzymamy tylko jego skrót). Każdy klucz możesz w każdej chwili odwołać.

  • Generowanie w Ustawienia → Klucze API (administrator)
  • Klucz zaczyna się od 'bp_live_'
  • Skopiuj natychmiast - nie będzie widoczny ponownie
  • Każdy klucz ma własną nazwę do rozpoznania
  • Możliwość odwołania klucza w dowolnym momencie

Nigdy nie umieszczaj klucza API w kodzie frontendowym (JavaScript w przeglądarce). Używaj go tylko po stronie serwera.

Autoryzacja zapytań

Każde zapytanie musi zawierać klucz - w nagłówku Authorization (Bearer) lub w nagłówku X-API-Key. Przykład: 'Authorization: Bearer bp_live_xxxxxxxx'. Zapytania bez klucza lub z nieprawidłowym kluczem zwracają błąd 401. Klucza nie musisz wiązać z NIP-em ani podawać numeru organizacji - klucz sam identyfikuje Twoją organizację.

  • Nagłówek: Authorization: Bearer bp_live_xxx
  • Alternatywnie: X-API-Key: bp_live_xxx
  • Błąd 401 przy braku lub błędnym kluczu
  • Klucz identyfikuje organizację - dane są izolowane
  • Limit: 120 zapytań na minutę na klucz

Bezpieczeństwo

Klucz API daje dostęp do danych Twojej organizacji. Traktuj go jak hasło. Przechowuj w zmiennych środowiskowych, nie w kodzie źródłowym. Jeśli podejrzewasz wyciek - natychmiast unieważnij klucz i wygeneruj nowy.

  • Przechowuj klucz w zmiennych środowiskowych (.env)
  • Nie commituj klucza do repozytorium Git
  • Regularnie rotuj klucze (np. co 90 dni)
  • Przy podejrzeniu wycieku - unieważnij natychmiast