Autenticação

Toda requisição à API envia um token no cabeçalho:

Authorization: Bearer <token>

Há dois tipos de acesso:

Chave de API do hotdoc

Para acesso programático ao processamento de documentos. Formato do token: hotdoc_<id>.<secret>. Criada no dashboard; o token completo é exibido uma única vez, após o que apenas uma versão mascarada é mantida (hotdoc_<id>). Uma chave tem uma expiração opcional (expiresAt; sem ela, a chave nunca expira) e um timestamp de último uso (lastUsedAt); uma chave pode ser revogada.

Token de sessão do dashboard (JWT)

Para gerenciar sua conta, chaves e faturamento pelo dashboard.

Os métodos de processamento (/v1/jobs*) aceitam tanto uma chave de API quanto um JWT. Todos os métodos de gerenciamento (conta, chaves, faturamento) exigem um token de sessão do dashboard (JWT) — não estão disponíveis com uma chave de API.

Endpoints de gerenciamento de chaves

MétodoEndpointFinalidade
GET/v1/account/api-keyslistar chaves (mascaradas)
POST/v1/account/api-keyscriar uma chave; o token completo é retornado uma única vez
DELETE/v1/account/api-keys/{id}revogar uma chave

Segurança de chaves

  • não coloque chaves em código no lado do cliente nem em repositórios públicos;
  • se uma chave vazar, revogue-a imediatamente e crie uma nova;
  • a revogação entra em vigor com um atraso de até 5 minutos (cache no lado do servidor);
  • a chave do provedor do modelo (BYOK) é um segredo separado; nunca é armazenada em texto plano (apenas criptografada) e é excluída junto com o job.