Autentizace
API používá osobní API klíče (Personal API Keys) pro autentizaci. Každý klíč je vázaný na uživatele a dědí jeho roli a oprávnění.
Vytvoření API klíče
- Přejděte do Nastavení → API klíče.
- Klikněte na Nový API klíč.
- Zadejte název klíče (pro vaši identifikaci, např. „Zapier integrace").
- Klikněte na Vytvořit.
- Zkopírujte klíč — zobrazí se pouze jednou.
tip
Klíč si okamžitě uložte do správce hesel nebo proměnné prostředí. Po zavření dialogu ho už nezobrazíte.
Limity
- Každý uživatel může mít maximálně 5 API klíčů.
- Klíče nemají expiraci — platí do smazání.
- Nepoužívané klíče doporučujeme smazat.
Použití
API klíč se posílá v HTTP hlavičce X-API-Key:
curl -H "X-API-Key: mk_live_abc123def456..." \
https://app.mujvykaz.cz/api/v1/users/me
Oprávnění klíče
API klíč dědí roli uživatele, který ho vytvořil:
| Role uživatele | API klíč může |
|---|---|
| Owner / Admin | Přistupovat ke všem datům organizace |
| Manager | Přistupovat k datům přiřazených klientů |
| Accountant | Číst všechna data (read-only) |
| Worker | Přistupovat ke svým datům |
Zabezpečení
Hashování
API klíče se v databázi ukládají jako SHA-256 hash. Originální klíč se nikde neukládá — proto ho po vytvoření nemůžete znovu zobrazit.
Timing-safe porovnání
Při autentizaci se klíč porovnává pomocí timing-safe comparison, která brání timing attacks.
Doporučení
- Neukládejte klíče do zdrojového kódu.
- Používejte proměnné prostředí (
MUJVYKAZ_API_KEY). - Vytvářejte oddělené klíče pro různé integrace.
- Smažte klíč ihned, pokud ho omylem zveřejníte.
Správa klíčů
Na stránce Nastavení → API klíče vidíte:
| Sloupec | Popis |
|---|---|
| Název | Vámi zvolený popis |
| Prefix | Prvních 8 znaků klíče (pro identifikaci) |
| Vytvořeno | Datum vytvoření |
| Poslední použití | Kdy byl klíč naposledy použit |
Kliknutím na Smazat klíč okamžitě deaktivujete.