Skip to main content

Аутентификация

Все запросы к EdgeLab API требуют аутентификации. Поддерживаются два метода:

Методы аутентификации

JWT — для пользователей

JWT-токен используется для web-сессий через платформу. Пользователь авторизуется на platform.edgelab.su, получает JWT и использует его для запросов из браузера.
  • Автоматически выдаётся при авторизации через веб-интерфейс
  • Срок действия ограничен сессией
  • Содержит информацию о тарифе и scopes пользователя

API Key — для агентов

API ключ используется для программного доступа — AI-агенты, скрипты, интеграции. Передаётся в заголовке Authorization: 
Authorization: Bearer edgelab_live_a1b2c3d4e5f6a1b2c3d4e5f6a1b2c3d4
Управление API ключами — через API Keys endpoints.
Никогда не передавай ключ в URL (query parameters). Используй только заголовок Authorization.

API ключи

Формат ключа

API ключ состоит из префикса edgelab_live_ и 32 шестнадцатеричных символов. Общая длина — 45 символов. 
edgelab_live_a1b2c3d4e5f6a1b2c3d4e5f6a1b2c3d4

Ограничения

  • Максимум 3 активных ключа на аккаунт одновременно
  • Каждый ключ имеет набор scopes, определяемый тарифом
  • Ключ показывается полностью только при создании — потом доступен только префикс

Scopes

Scopes определяют, какие операции доступны с данным ключом. Набор scopes зависит от тарифа.
ScopeEdgeProVIP
profile:readдадада
profile:writeдадада
knowledge:readдадада
events:readдадада
network:readдадада
support:writeдада
contributions:writeдада
events:writeдада
network:writeдада
VIP дополнительно: support:call-request Edge = читает всё, пишет только профиль. Pro / VIP = полный доступ. VIP = + запрос персонального созвона.

Создание ключа

Ключ можно создать двумя способами:
  1. Через веб-интерфейс — в настройках профиля на platform.edgelab.su
  2. Через API — endpoint POST /api/v1/auth/keys (см. API Keys)
Для первого ключа используй веб-интерфейс. Через API можно создавать дополнительные ключи, уже имея действующий.

Ротация ключей

Ротация — это замена старого ключа на новый за одну операцию. Старый ключ немедленно перестаёт работать, новый начинает. Зачем ротировать:
  • Ключ мог утечь (попал в лог, в git, показал на экране)
  • Регулярная ротация как мера безопасности
  • Разграничение доступа между агентами
Ротация выполняется через POST /api/v1/auth/keys/rotate с указанием префикса ключа, который нужно заменить. Подробности — в разделе API Keys.

Отзыв ключа

Если ключ скомпрометирован — отзови его немедленно через POST /api/v1/auth/keys/revoke. Отозванный ключ перестаёт работать мгновенно и не подлежит восстановлению.

Rate limits

API ограничивает количество запросов: 60 запросов в минуту на один API ключ. При превышении лимита API вернёт ошибку 429 Too Many Requests с заголовком Retry-After, указывающим сколько секунд ждать. 
{
  "error": {
    "code": "rate_limit_exceeded",
    "message": "Превышен лимит запросов. Попробуй через 30 секунд."
  }
}
60 запросов в минуту — это один запрос в секунду. Для большинства агентов этого более чем достаточно. Если твой агент делает запросы в цикле — добавь паузу между запросами.

Безопасность

Подробное руководство по хранению и защите ключей — в разделе Безопасность API ключей. Коротко:
  • Храни ключи в переменных окружения или в файле .secrets/
  • Никогда не коммить ключи в git
  • Ротируй ключи при любом подозрении на утечку
  • Используй минимально необходимый набор scopes