API: Autentisering
Insight API använder tokenbaserad autentisering. Varje API-förfrågan måste innehålla en giltig token för att identifiera din organisation och ge åtkomst behörighet. Detta är en standardmetod som används av de flesta moderna API:er – om du har arbetat med något annat API tidigare kommer detta att kännas bekant.
Hur det fungerar:
- En administratör skapar en API-token i Insight
- Denna token ingår i varje API-förfrågan som en header
- Insight verifierar token och kontrollerar att den har behörighet för de begärda uppgifterna
- Om giltig returneras data; annars får du ett felmeddelande
För utvecklare
Att få en token
Kontakta din Brilliant-representant för att begära en API-token. De kommer att konfigurera token med lämpliga behörigheter för dina integrationsbehov och tillhandahålla den till dig på ett säkert sätt.
Använda token
Inkludera token i Authorization rubriken av varje begäran:
Authorization: Bearer YOUR_API_TOKEN
Token behörigheter
Varje token har specifika behörigheter som styr vilka data den kan komma åt:
| Permission | Grants access to |
|---|---|
| Organization | GET /api/public/groups |
| Survey | GET /api/public/surveys |
| Results | GET /api/public/surveys/{id}/results, GET /api/public/indexes, GET /api/public/questions |
En token utan nödvändig behörighet kommer att få en 403 Forbidden respons.
Bästa praxis för säkerhet
- Använd aldrig tokens för källkontroll – använd miljövariabler eller en hemlighetshanterare
- Rotera tokens regelbundet – återkalla gamla tokens och skapa nya
- Använd lägst behörighet – ge bara de behörigheter som varje integration faktiskt behöver
- Använd HTTPS – alla API-anrop måste göras via HTTPS
Felsvar
| Status | Betydelse | Att göra |
|---|---|---|
401 Unauthorized |
Token saknas eller är felaktigt formaterad | Kontrollera formatet för auktoriseringsrubriken |
403 Forbidden |
Token är giltig men saknar behörighet | Verifiera att token har den behörighet som krävs i Insight |