Public API використовує схему:
company API key -> short-lived Bearer token
Правила поточної реалізації:
-
API key належить компанії, а не окремому користувачу.
-
Для
v1дозволено один активний API key на компанію. -
Керує ключем тільки користувач із роллю HRADMIN у
cab > Settings > Company. -
Повний секрет показується лише один раз — одразу після генерації або ротації.
-
Після ротації попередній ключ стає невалідним одразу.
-
Інтегратор отримує access token через
POST /v1/auth/tokenі далі використовуєAuthorization: Bearer <token>. -
Refresh token для інтегратора у
v1не використовується: після завершення TTL access token інтегратор повторно викликаєPOST /v1/auth/token.
Base URL і загальні правила виклику
1. Base URL
Поточний base URL:
https://smartway.pro/api
2. Загальні правила
-
Формат бізнес-відповідей:
application/json -
Формат помилок:
application/problem+json -
Версіонування: major-версія в URI (
/v1/...) -
Для кореляції запитів рекомендовано передавати
traceparent