Глоссарий FazerCards
Bearer token vs API key
Два распространённых стиля HTTP-аутентификации. FazerCards использует API-key в заголовке X-Api-Key — проще и стабильнее; bearer tokens обычно выпускаются через OAuth и истекают.
Bearer tokens (Authorization: Bearer <token>) обычно выпускает OAuth-поток, они часто ротируются — годится, когда консьюмер API это конечный пользователь. API-ключи (X-Api-Key: <key>) — долгоживущий секрет, принадлежащий серверу — годится для backend-интеграции, что и есть случай FazerCards. Операционно похожи, но имеют разный lifetime expectation.
Главные факты
- FazerCards: X-Api-Key (серверный секрет).
- OAuth bearer: user-context, короткоживущий.
- Ротируйте API-ключи при смене сотрудников.