Autoryzacja API
Jak uzyskać klucz API i autoryzować zapytania.
Ostatnia aktualizacja: 2026-07-03
Generowanie klucza API
Przejdź do Ustawienia → Klucze API (sekcja widoczna dla administratora). Wpisz nazwę klucza (np. 'Formularz na stronie') i kliknij 'Wygeneruj'. Otrzymasz klucz zaczynający się od 'bp_live_'. Skopiuj go od razu - ze względów bezpieczeństwa nie będzie można go zobaczyć ponownie (w bazie trzymamy tylko jego skrót). Każdy klucz możesz w każdej chwili odwołać.
- Generowanie w Ustawienia → Klucze API (administrator)
- Klucz zaczyna się od 'bp_live_'
- Skopiuj natychmiast - nie będzie widoczny ponownie
- Każdy klucz ma własną nazwę do rozpoznania
- Możliwość odwołania klucza w dowolnym momencie
Nigdy nie umieszczaj klucza API w kodzie frontendowym (JavaScript w przeglądarce). Używaj go tylko po stronie serwera.
Autoryzacja zapytań
Każde zapytanie musi zawierać klucz - w nagłówku Authorization (Bearer) lub w nagłówku X-API-Key. Przykład: 'Authorization: Bearer bp_live_xxxxxxxx'. Zapytania bez klucza lub z nieprawidłowym kluczem zwracają błąd 401. Klucza nie musisz wiązać z NIP-em ani podawać numeru organizacji - klucz sam identyfikuje Twoją organizację.
- Nagłówek: Authorization: Bearer bp_live_xxx
- Alternatywnie: X-API-Key: bp_live_xxx
- Błąd 401 przy braku lub błędnym kluczu
- Klucz identyfikuje organizację - dane są izolowane
- Limit: 120 zapytań na minutę na klucz
Bezpieczeństwo
Klucz API daje dostęp do danych Twojej organizacji. Traktuj go jak hasło. Przechowuj w zmiennych środowiskowych, nie w kodzie źródłowym. Jeśli podejrzewasz wyciek - natychmiast unieważnij klucz i wygeneruj nowy.
- Przechowuj klucz w zmiennych środowiskowych (.env)
- Nie commituj klucza do repozytorium Git
- Regularnie rotuj klucze (np. co 90 dni)
- Przy podejrzeniu wycieku - unieważnij natychmiast