Authenticatie
Elk REST-verzoek verifieert met een API-sleutel die wordt verzonden als een Bearer-token. (De openbare verificatie-eindpunten zijn de enige uitzondering — zij hebben geen sleutel nodig, omdat het afgedrukte serienummer het credential is.)
# API-sleutels
Maak sleutels in de app onder Instellingen → API-sleutels. Er zijn twee soorten:
| Voorvoegsel | Gebruik |
|---|---|
mtq_live_… |
Productie — telt mee naar uw planquotum. |
mtq_test_… |
Testen. |
Sleutels worden eenmaal weergegeven bij het aanmaken — bewaar ze op een veilige plaats. Alleen een SHA-256-hash wordt aan de serverzijde opgeslagen, dus een verloren sleutel kan niet worden hersteld, alleen ingetrokken en vervangen.
# De sleutel verzenden
Voeg een Authorization-header toe aan elk verzoek:
Authorization: Bearer mtq_live_xxxxxxxxxxxxxxxxxxxxxxxx
curl https://mostlyqr.com/api/v1/links \
-H "Authorization: Bearer mtq_live_…"
Een ontbrekende, ongeldige of ingetrokken sleutel retourneert 401. Elke sleutel is snelheidsbeperkt per een
vast venster; overschrijding retourneert 429. Zie Fouten.
# Basis-URL
https://mostlyqr.com/api
Verzoeken naar /api/** worden door een Hosting-rewrite naar de REST-functie gerouteerd. (De onbewerkte
functie-URL https://europe-west2-mostly-qr.cloudfunctions.net/restApi werkt ook.)
# Planbeperkingen
Sommige eindpunten vereisen een betaald plan: de REST API en batch zijn Pro+, en
geserialiseerde codes zijn Enterprise. Een verzoek buiten uw planrechten
retourneert 403/failed-precondition met de limiet in de fout. Zie uw
plan in Instellingen.
# Sleutels veilig houden
- Verzend nooit een sleutel in client-side code of een openbare repo.
- Roteer door een nieuwe sleutel aan te maken en de oude in te trekken; intrekking is onmiddellijk.