Pular para o conteúdo

Autenticação

Toda chamada à API do SquadOS é autenticada por um token de API enviado no header Authorization, no formato Bearer. O token tem o prefixo pk_ e é vinculado à sua organização — ele dá acesso aos agentes, conversas e bases daquela organização.

Authorization: Bearer pk_sua_chave_aqui

Os tokens são gerados no painel admin, em Configurações → API.

Aba API em Configurações, com a tabela de tokens e o botão Gerar Token API

  1. No painel admin, abra Configurações e selecione a aba API.

  2. Clique em Gerar Token API e dê um nome ao token (ex.: n8n produção, backend interno) para identificá-lo depois.

  3. Copie o token na hora. Ele é exibido uma única vez, logo após a criação. Por segurança, o SquadOS guarda apenas um hash — não há como recuperar o valor completo depois. Se perder, gere um novo.

Inclua o header Authorization em toda requisição. Em chamadas com corpo, envie também Content-Type: application/json:

Terminal window
curl https://api.squados.io/v1/agents \
-H "Authorization: Bearer pk_sua_chave_aqui"
Terminal window
curl -X POST https://api.squados.io/v1/chat/AGENT_ID \
-H "Authorization: Bearer pk_sua_chave_aqui" \
-H "Content-Type: application/json" \
-d '{ "message": "Olá!", "sync": true }'

Na mesma aba API, a tabela lista todos os tokens da organização:

  • Prefixo — os primeiros caracteres do token (ex.: pk_2d3d0e63...), para você identificar qual é qual sem ver o valor completo.
  • StatusAtivo ou Revogado.
  • Criado em e Último uso — quando foi gerado e quando foi usado pela última vez.
  • Chamadas — quantas requisições já fez com aquele token.

Cada token tem duas ações:

  • Revogar — desativa o token imediatamente. Chamadas com ele passam a retornar 401. O registro continua na tabela (marcado como revogado) para auditoria.
  • Excluir — remove o token da tabela de vez.

Quando o token está ausente, malformado, revogado ou inválido, a API responde 401:

{
"error": "Invalid or missing API token",
"code": "unauthorized"
}

Confira se o header está no formato exato Authorization: Bearer pk_... (com o espaço após Bearer) e se o token não foi revogado. Veja Erros para a lista completa de códigos.