Cria uma nova API Key
Gera uma nova chave de API (Bearer Token JWT) para uso em integrações externas.
Importante — token bruto só aparece uma vez: o token completo retorna apenas no campo message deste response. Após esta chamada, o sistema armazena somente o hash. Guarde o token em vault seguro (1Password, AWS Secrets Manager, HashiCorp Vault) imediatamente; ele não pode ser recuperado depois.
Permissões disponíveis (campo permissions):
read— leitura (GET) em todos os recursos liberadoswrite— criação (POST)update— atualização (PATCH/PUT)delete— exclusão (DELETE)
Conceda somente as permissões necessárias (princípio de menor privilégio). Para um bot que só sincroniza frequência num ERP, use ["read"]. Para uma integração que cria registros de ponto, ["read", "write"].
Expiração (expiresIn): 7d, 30d, 45d, 90d, 180d, 1y ou 5y. Default 7d. Chaves expiradas falham com 401. Por boas práticas de segurança, evite 5y exceto em integrações on-premises auditadas.
Auditoria: o usuário autenticado que criar a chave fica registrado em createdBy. Toda chamada feita com o token gera log auditável vinculado a esse usuário.
Veja o guia Autenticação para o fluxo completo de uso.
Body
Nome, permissões e prazo de expiração da chave a ser criada
Nome amigável da chave para identificação no inventário. Use algo descritivo do propósito da integração — ex.: "Sync ERP Domínio - Producao", "Bot relatorio mensal contabilidade".
"Sync ERP Domínio - Produção"
Permissões concedidas à chave. Aplique o princípio de menor privilégio — conceda apenas o necessário. read = GETs. write = POSTs. update = PATCH/PUT. delete = DELETEs.
read, write, update, delete ["read", "write"]Período de validade da chave. Após expiresAt, todas as chamadas falham com 401 sem possibilidade de reativação. Para integrações de produção, prefira 1y com rotação automatizada. Evite 5y exceto em ambientes on-premises auditados.
7d, 30d, 45d, 90d, 180d, 1y, 5y "1y"