Autenticação
Toda requisição REST se autentica com uma chave de API enviada como um token Bearer. (Os endpoints de verificação públicos são a única exceção — não precisam de chave, porque o serial impresso é a credencial.)
# Chaves de API
Crie chaves no app em Settings → API keys. Existem dois tipos:
| Prefixo | Uso |
|---|---|
mtq_live_… |
Produção — contabiliza contra a cota do seu plano. |
mtq_test_… |
Testes. |
As chaves são mostradas uma única vez na criação — armazene-as em um local seguro. Apenas um hash SHA-256 é mantido no servidor, então uma chave perdida não pode ser recuperada, apenas revogada e substituída.
# Enviando a chave
Adicione um header Authorization a cada requisição:
Authorization: Bearer mtq_live_xxxxxxxxxxxxxxxxxxxxxxxx
curl https://mostlyqr.com/api/v1/links \
-H "Authorization: Bearer mtq_live_…"
Uma chave ausente, inválida ou revogada retorna 401. Cada chave é limitada por taxa de acordo com
uma janela fixa; excedê-la retorna 429. Veja Errors.
# URL base
https://mostlyqr.com/api
As requisições para /api/** são encaminhadas para a função REST por uma reescrita de Hosting. (A URL
bruta da função https://europe-west2-mostly-qr.cloudfunctions.net/restApi também funciona.)
# Limitações por plano
Alguns endpoints requerem um plano pago: a API REST e lote são Pro+, e
códigos serializados são Enterprise. Uma requisição além do direito do seu plano
retorna 403/failed-precondition com o limite no erro. Veja seu plano em Settings.
# Mantendo chaves seguras
- Nunca envie uma chave no código do lado do cliente ou em um repositório público.
- Rotacione criando uma nova chave e revogando a antiga; a revogação é imediata.