Autenticação
A API do Financeiro Inteligente usa Bearer Token para autenticar todas as requisições. Cada token é emitido para um Workspace e escopa automaticamente os dados retornados.
Obtendo o token
Gere tokens via endpoint POST /api/v1/tokens ou pela interface administrativa. Cada token tem:
- Identificador UUID público para rastreamento.
- Secret mostrado uma única vez no momento da criação — copie e guarde em local seguro.
- Escopos que limitam quais recursos o token pode acessar.
- Expiração opcional.
Como enviar o token
Inclua o cabeçalho Authorization: Bearer <token> em cada requisição.
export KOBANA_TOKEN=xxxxxxxxxxxxxxxxxxxxxxxx
curl -i \
-H "Authorization: Bearer $KOBANA_TOKEN" \
-H 'Content-Type: application/json' \
-H 'User-Agent: Meu Sistema (contato@minhaempresa.com.br)' \
-X GET 'https://api.finance.kobana.com.br/v1/accounts'
Escopos
Cada token deve declarar os escopos necessários. Escopos disponíveis:
| Escopo | Acesso |
|---|---|
finance.accounts | Leitura de contas |
finance.accounts.write | Criação e atualização de contas |
finance.payables | Leitura de contas a pagar |
finance.payables.write | Criação e atualização de contas a pagar |
finance.receivables | Leitura de contas a receber |
finance.receivables.write | Criação e atualização de contas a receber |
finance.transactions | Leitura de transações |
finance.transactions.write | Criação e atualização de transações |
finance.companies | Leitura de empresas |
finance.companies.write | Criação e atualização de empresas |
finance.people | Leitura de pessoas |
finance.people.write | Criação e atualização de pessoas |
finance.categories | Leitura de categorias |
finance.categories.write | Criação e atualização de categorias |
finance.cost_centers | Leitura de centros de custo |
finance.cost_centers.write | Criação e atualização de centros de custo |
finance.taxes | Leitura de impostos |
finance.taxes.write | Criação e atualização de impostos |
finance.attachments | Leitura de anexos |
finance.attachments.write | Upload e gerenciamento de anexos |
Boas práticas
- Nunca versione tokens em git. Use variáveis de ambiente ou cofres (AWS Secrets Manager, Vault, etc.).
- Use tokens distintos por integração — facilita rotacionar/revogar sem derrubar tudo.
- Defina escopos mínimos necessários (princípio do menor privilégio).
- Revogue imediatamente qualquer token vazado.
- HTTPS obrigatório — chamadas em HTTP são rejeitadas.