Kimlik ve API Key

Kurulum ve Kimlik

API Key Kullanımı

WA2Notify müşteri API anahtarlarını dashboard üzerinden üretip yalnız operasyon uçlarında kullanın.

WA2Notify müşteri API key’leri dashboard üzerinden üretilir. API key oluşturma ve iptal etme endpoint’leri public API yüzeyinin parçası değildir.

Header biçimi

X-API-Key: sk_live_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

API key’ler sk_live_ (canlı) veya sk_test_ (test) ön ekiyle başlar. Test anahtarları gerçek gönderim yapmadan entegrasyon akışını denemeniz içindir; canlıya çıkarken sk_live_ anahtarına geçin. Anahtarın tamamı yalnızca oluşturma anında bir kez gösterilir; kaybederseniz yeni bir anahtar üretmeniz gerekir. Panelde ve loglarda yalnızca ön ek (sk_live_ + ilk birkaç karakter) görünür.

Public entegrasyon çağrıları

Müşterinin kendi backend’i, cron servisleri veya otomasyon işçileri public operasyon yüzeyini bu anahtar ile çağırır.

Panel içi oturumdan farklıdır

Dashboard kendi JWT oturumu ile çalışabilir; bu portal dış entegrasyon tarafında yalnız API key modelini anlatır.

API key ile erişilebilen alanlar

Alanİzinler
Mesajlar ve planlı mesajlarmessages:send, messages:read
Kampanyalarmessages:send, messages:read
Dosya ve medya yüklememessages:send
Kişi listelericontact-lists:manage, contact-lists:read
Şablonlartemplates:manage, templates:read
Webhooklarwebhooks:manage

API key ile erişilemeyen alanlar

  • Auth ve oturum işlemleri
  • API key yönetimi
  • Cihaz bağlama, QR ve reconnect
  • Billing ve abonelik yönetimi
  • Profil ve güvenlik ayarları
  • Dashboard summary, usage ve genel istatistikler
Önemli

device_id üretimi public API ile yapılmaz. Önce dashboard’dan cihaz bağlayıp daha sonra aynı device_id ile operasyon uçlarını çağırırsınız.

Önerilen izin setleri

Mesaj servisimessages:send, messages:read
CRM / kişi listesi senkronucontact-lists:manage, contact-lists:read
Template yönetimitemplates:manage, templates:read
Webhook yönetimiwebhooks:manage

Güvenlik önerileri

  • Her entegrasyon için ayrı API key üretin.
  • Anahtarı yalnızca server-side secret store içinde saklayın.
  • Gerekmediği sürece manage izinleri vermeyin.
  • Müşteri paneli veya browser tarafı uygulamalarda API key göstermeyin.
  • Kullanılmayan anahtarları panelden kapatın.

Pratik kullanım notları

  • messages:send izni message-assets upload yüzeyini de kapsar.
  • messages:read kampanya listeleme ve mesaj detay çağrılarını da kapsar.
  • contact-lists:manage izni read yetkisini de içerir.
  • Aynı anahtar hem kişi listesi import edip hem mesaj gönderebilir; ancak billing veya device uçlarına geçemez.