Autenticazione
Ogni richiesta REST si autentica con una chiave API inviata come token Bearer. (Gli endpoint di verifica pubblici sono l’unica eccezione — non richiedono una chiave, poiché il numero di serie stampato è la credenziale.)
# Chiavi API
Crea le chiavi nell’app sotto Impostazioni → Chiavi API. Ci sono due tipi:
| Prefisso | Uso |
|---|---|
mtq_live_… |
Produzione — conteggia rispetto alla quota del tuo piano. |
mtq_test_… |
Test. |
Le chiavi vengono visualizzate una sola volta al momento della creazione — salvale in un luogo sicuro. Solo un hash SHA-256 viene mantenuto lato server, quindi una chiave persa non può essere recuperata, solo revocata e sostituita.
# Invio della chiave
Aggiungi un header Authorization a ogni richiesta:
Authorization: Bearer mtq_live_xxxxxxxxxxxxxxxxxxxxxxxx
curl https://mostlyqr.com/api/v1/links \
-H "Authorization: Bearer mtq_live_…"
Una chiave mancante, non valida o revocata restituisce 401. Ogni chiave è limitata per finestra fissa; superarla restituisce 429. Vedi Errori.
# URL di base
https://mostlyqr.com/api
Le richieste a /api/** vengono instradate alla funzione REST tramite un rewrite di Hosting. (L’URL della funzione raw https://europe-west2-mostly-qr.cloudfunctions.net/restApi funziona anche.)
# Gate del piano
Alcuni endpoint richiedono un piano a pagamento: l’API REST e il batch sono Pro+, e i
codici serializzati sono Enterprise. Una richiesta oltre il diritto del tuo piano restituisce 403/failed-precondition con il limite nell’errore. Vedi il tuo piano in Impostazioni.
# Mantenere le chiavi al sicuro
- Non spedire mai una chiave nel codice lato client o in un repository pubblico.
- Ruota creando una nuova chiave e revocando quella vecchia; la revoca è immediata.