# Безопасность API

## Аутентификация

Все запросы к API требуют аутентификации с использованием Bearer токена (API ключа).

### Как аутентифицироваться

Включите ваш API ключ в заголовок `Authorization`:


```bash
curl -X GET https://api.vilna.io/v1/addresses \
  -H "Authorization: Bearer YOUR_API_KEY"
```

### Лучшие практики работы с API ключами

- **Безопасное хранение**: Используйте переменные окружения или сервисы управления секретами
- **Никогда не раскрывайте**: Не включайте API ключи в клиентский код или публичные репозитории
- **Регулярная ротация**: Периодически меняйте API ключи для повышения безопасности
- **Разные ключи**: Используйте отдельные ключи для разработки, тестирования и продакшена


## Безопасность Webhook

Vilna подписывает все webhook-запросы для обеспечения их подлинности и защиты от подделки.

### Заголовки безопасности в Webhook

Каждый webhook-запрос от Vilna включает следующие заголовки:

| Заголовок | Описание |
|  --- | --- |
| `X-Vilna-Signature` | HMAC-SHA256 подпись запроса |
| `X-Vilna-Timestamp` | Unix timestamp когда запрос был отправлен |
| `X-Vilna-Event` | Тип события (например, "transaction.confirmed") |
| `X-Vilna-Event-Id` | Уникальный идентификатор события |
| `X-Vilna-Idempotency-Key` | Уникальный ключ для предотвращения дублирования |


## Дополнительные ресурсы

- [Руководство по интеграции Webhook](/guides/channels#webhook-channels)
- [Обработка ошибок API](/apis/#%D0%BE%D1%82%D0%B2%D0%B5%D1%82-%D1%81-%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%BE%D0%B9-rfc-7807)
- [Руководство быстрого старта](/guides/quickstart)


*Безопасность — наш главный приоритет. Если вы нашли уязвимость, пожалуйста, сообщите об этом на [security@vilna.io](mailto:security@vilna.io)*