Autenticazione
API key Bearer e scope. Il workspace e sempre derivato dal token.
Ogni richiesta usa una API key nell'header Authorization:
Authorization: Bearer sk_...Il workspace (tenant) e SEMPRE derivato dal token, mai da un parametro della richiesta.
Scope
Le chiavi portano scope granulari oppure * (full access). I principali:
email:send,messages:sendcontacts:read,contacts:writedomains:write,automations:write,campaigns:writeinbox:read,inbox:write,inbox:sendwebhooks:read,webhooks:writeutm:read,integrations:write,events:write
Conserva le chiavi come segreti. Il token in chiaro si vede solo alla creazione.