Autenticação
Requisições à API autenticam com um Bearer token emitido nas configurações do seu tenant. Tokens são escopados por tenant e por role.
01
Bearer token
- Gere em Configurações → Chaves de API (apenas admin).
- Inclua em cada request: `Authorization: Bearer <token>`.
- Tokens são revogáveis; rotacione pelo menos a cada 90 dias.
02
Sessões via cookie
- A web app usa uma sessão de cookie httpOnly para usuários de browser.
- Sessões expiram após 7 dias de inatividade.
- Política same-site é `Lax` para prevenir CSRF em POSTs cross-origin.