Pular para o conteudo principal
OrNexus
Autenticacao

Bearer API keys com escopo minimo

Crie chaves no dashboard autenticado, copie o segredo completo uma unica vez e envie-o em requests server-side usando Authorization: Bearer onx_live_....

Criar e guardar a chave

Acesse Settings > API keys para gerar uma chave para cada ambiente ou integracao. O segredo completo aparece somente na confirmacao de criacao; depois disso, o painel exibe apenas prefixo e metadados para auditoria.

  • Salve a chave em um secrets manager ou variavel de ambiente no servidor.
  • Nunca cole a chave em codigo-fonte, apps client-side, logs ou tickets.
  • Use placeholders como onx_live_... ou onx_test_... em documentacao e exemplos; nunca cole chaves reais em tickets ou logs.
  • Chaves legadas ok_live_* e ok_test_* seguem aceitas para compatibilidade ate rotacao ou revogacao.

Headers suportados

A Public API aceita somente Bearer API Key em requests de clientes. X-API-Key e headers internos sao reservados ao proxy autenticado do dashboard e nao devem ser usados por integracoes externas.

http
Authorization: Bearer onx_live_...
Accept: application/json

curl

curl
curl https://public-api.ornexus.com/v1/me \
  -H "Authorization: Bearer onx_live_..." \
  -H "Accept: application/json"

JavaScript

JavaScript
const response = await fetch('https://public-api.ornexus.com/v1/me', {
  headers: {
    Authorization: `Bearer ${process.env.ORNEXUS_API_KEY ?? ''}`,
    Accept: 'application/json',
  },
});

Python

Python
import os
import requests

response = requests.get(
    'https://public-api.ornexus.com/v1/me',
    headers={'Authorization': f"Bearer {os.environ['ORNEXUS_API_KEY']}"},
    timeout=10,
)

Scopes comuns

  • leads:read para listar ou consultar leads.
  • leads:write para criar/upsertar leads com Idempotency-Key e registrar consentimento em custom_fields.
  • conversations:read para threads e mensagens autorizadas.
  • conversations:write para POST /v1/leads/{lead_id}/assistant-takeover, incluindo o greeting proativo quando os gates forem aprovados.
  • conversations:read:sensitive opcional para ler conteudo completo de mensagens em vez de respostas mascaradas.
  • campaigns:read e campaigns:dangerous para leitura e disparo aprovado.
  • webhooks:write para gerenciar subscriptions.

Boas praticas

  • Armazene chaves apenas no servidor.
  • Use uma chave por ambiente e por integracao.
  • Rotacione chaves periodicamente e sempre que houver suspeita de exposicao.
  • Revogue chaves antigas em Settings > API keys apos validar a nova chave.
  • Solicite apenas os scopes necessarios.