Autentifikatsiya
App ID, secret, headerlar va xavfsiz saqlash qoidalari.
Headerlar
Client API har bir so‘rovni ikki credential orqali tekshiradi: X-App-ID va X-App-Secret. Bu qiymatlar admin paneldagi API mijozlar bo‘limida beriladi.
X-App-ID: app_xxxxxxxxxxxx
X-App-Secret: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Accept: application/jsonSecret saqlash
X-App-Secret frontend ilova, mobil app ichidagi ochiq config yoki Git repositoryga yozilmasligi kerak. Uni faqat server tomonda saqlang va so‘rovlarni serveringiz orqali yuboring.
Ruxsatlar (abilities)
Ommaviy read endpointlar read ruxsati bilan ishlaydi. Seller API (zaxira yozish) uchun kalit do‘konga bog‘langan bo‘lishi va stock:write ruxsatiga ega bo‘lishi shart. Har bir kalit faqat o‘ziga biriktirilgan do‘kon mahsulotlariga ta’sir qiladi.
| Ability | Nima ochadi |
|---|---|
| read | Ommaviy katalog, seller va qidiruv (read-only). |
| stock:write | Seller-scoped zaxira yozish — faqat o‘z do‘koni. |
IP allowlist
Kalitga IP yoki CIDR ro‘yxati biriktirilsa, so‘rovlar faqat o‘sha manzillardan qabul qilinadi — aks holda 403. Yuqori xavfsizlik uchun integratsiya serveringiz IP’ini qo‘shing.