Autenticação
Toda requisição à API envia um token no cabeçalho:
Authorization: Bearer <token>
Há dois tipos de acesso:
Chave de API do hotdoc
Para acesso programático ao processamento de documentos. Formato do token: hotdoc_<id>.<secret>. Criada no dashboard; o token completo é exibido uma única vez, após o que apenas uma versão mascarada é mantida (hotdoc_<id>). Uma chave tem uma expiração opcional (expiresAt; sem ela, a chave nunca expira) e um timestamp de último uso (lastUsedAt); uma chave pode ser revogada.
Token de sessão do dashboard (JWT)
Para gerenciar sua conta, chaves e faturamento pelo dashboard.
Os métodos de processamento (/v1/jobs*) aceitam tanto uma chave de API quanto um JWT. Todos os métodos de gerenciamento (conta, chaves, faturamento) exigem um token de sessão do dashboard (JWT) — não estão disponíveis com uma chave de API.
Endpoints de gerenciamento de chaves
| Método | Endpoint | Finalidade |
|---|---|---|
GET | /v1/account/api-keys | listar chaves (mascaradas) |
POST | /v1/account/api-keys | criar uma chave; o token completo é retornado uma única vez |
DELETE | /v1/account/api-keys/{id} | revogar uma chave |
Segurança de chaves
- não coloque chaves em código no lado do cliente nem em repositórios públicos;
- se uma chave vazar, revogue-a imediatamente e crie uma nova;
- a revogação entra em vigor com um atraso de até 5 minutos (cache no lado do servidor);
- a chave do provedor do modelo (BYOK) é um segredo separado; nunca é armazenada em texto plano (apenas criptografada) e é excluída junto com o job.