Три способа авторизации запросов к Hexly — выберите подходящий в зависимости от сценария использования.
Самый простой способ для серверных интеграций. Ключ передаётся в заголовке Authorization и действует до отзыва вручную. Подходит для доверенной серверной среды.
curl https://gw.hexly.dev/v1/orders \
-H "Authorization: Bearer hx_live_51a8f9c2..."
Подходит для сценариев, где доступ выдаётся от имени конечного пользователя — например, если ваше приложение интегрируется со сторонними сервисами через Hexly. Поддерживается grant type authorization_code и client_credentials.
| Grant type | Когда использовать | Время жизни токена |
|---|---|---|
client_credentials | Сервер-сервер без участия пользователя | 1 час |
authorization_code | Доступ от имени пользователя через браузер | 1 час + refresh token |
Для высоконагруженных систем, где нежелательно делать сетевой запрос за токеном на каждый вызов. Ключ подписи можно сгенерировать в дашборде и проверять токены локально по публичному ключу.
Создайте новый ключ и удалите старый после переключения — оба ключа действительны одновременно в течение переходного периода, что позволяет обновить конфигурацию без простоя.
Отозванный ключ перестаёт работать в течение 60 секунд, но не мгновенно — учитывайте это при экстренной ротации из-за компрометации ключа.
gateway:read — чтение конфигурации маршрутовgateway:write — изменение маршрутов и деплой конфигурацииwebhooks:send — отправка событий через API вебхуковqueues:publish — публикация сообщений в очередиadmin — полный доступ, включая управление ключами и биллингом