Autenticação

Toda chamada à WS API exige um header Authorization: Bearer <token>. O token é gerado por instância — não há token "global". Isso significa que ao expor um cliente final você pode dar acesso somente à instância dele, sem risco de vazamento das outras.

Onde pegar o token

• No painel, abra a instância e copie o token na seção Credenciais.
• O token é exibido uma vez na criação. Pode regenerar a qualquer momento (a chave antiga deixa de funcionar).
• Tem 32 caracteres hexadecimais. Trate como senha.

Exemplo

curl https://api.wsapi.app/v1/instance/status?instanceId=$INSTANCE_ID \
  -H "Authorization: Bearer $TOKEN"

Escopo

Cada token tem acesso somente à instância à qual está vinculado. Tentar chamar uma rota com o instanceId de outra instância retorna 403 Forbidden.

Rotação

Recomendamos rotacionar o token a cada 90 dias ou imediatamente em caso de suspeita de vazamento. A rotação é instantânea: a chave antiga é invalidada, a nova começa a funcionar no mesmo segundo.

Boas práticas

• Nunca commite tokens no repositório. Use variáveis de ambiente.
• Em frontend, exponha um endpoint backend que faz o proxy — não chame a WS API direto do browser.
• Se você revende para clientes finais, use um token por cliente final, não compartilhe um único token.