Все запросы к API требуют API-ключ, передаваемый в заголовке X-Api-Key. Инструкции по настройке, примеры кода и обработку ошибок см. в руководстве по аутентификации.
Планируемая функция
Проверка подписи вебхуков пока недоступна. Описание механизма приведено в руководстве по аутентификации для предварительного ознакомления.
Запросы, превышающие лимиты, получают ответ 429 Too Many Requests. Подробности об ошибках и стратегиях повторных попыток см. в разделе ошибки и устранение неполадок.
- Используйте API-ключи только на стороне сервера. Не раскрывайте их во фронтенд-коде или публичных репозиториях.
- Храните ключи в переменных окружения или менеджере секретов, а не в исходном коде.
- Регулярно меняйте ключи и немедленно отзывайте скомпрометированные.
- Используйте отдельные ключи для разработки, тестирования и продакшена.
Полное руководство см. в разделе лучшие практики безопасности.
Если вы обнаружили уязвимость, сообщите об этом на security@vilna.io.