начало работы

Аутентификация

Три способа авторизации запросов к Hexly — выберите подходящий в зависимости от сценария использования.

API-ключи

Самый простой способ для серверных интеграций. Ключ передаётся в заголовке Authorization и действует до отзыва вручную. Подходит для доверенной серверной среды.

curl https://gw.hexly.dev/v1/orders \
  -H "Authorization: Bearer hx_live_51a8f9c2..."

OAuth 2.0

Подходит для сценариев, где доступ выдаётся от имени конечного пользователя — например, если ваше приложение интегрируется со сторонними сервисами через Hexly. Поддерживается grant type authorization_code и client_credentials.

Grant typeКогда использоватьВремя жизни токена
client_credentialsСервер-сервер без участия пользователя1 час
authorization_codeДоступ от имени пользователя через браузер1 час + refresh token

Подписанные JWT

Для высоконагруженных систем, где нежелательно делать сетевой запрос за токеном на каждый вызов. Ключ подписи можно сгенерировать в дашборде и проверять токены локально по публичному ключу.

Ротация ключей

Создайте новый ключ и удалите старый после переключения — оба ключа действительны одновременно в течение переходного периода, что позволяет обновить конфигурацию без простоя.

!

Отозванный ключ перестаёт работать в течение 60 секунд, но не мгновенно — учитывайте это при экстренной ротации из-за компрометации ключа.

Области действия (scopes)

  • gateway:read — чтение конфигурации маршрутов
  • gateway:write — изменение маршрутов и деплой конфигурации
  • webhooks:send — отправка событий через API вебхуков
  • queues:publish — публикация сообщений в очереди
  • admin — полный доступ, включая управление ключами и биллингом