# Авторизация запросов

{% hint style="info" %}
* Для всех запросов требуется Basic-авторизация
* Создаваемый ключ является кодированной в Base64 парой \<key\_id>:\<password>&#x20;
* Для использования в Basic-авторизации вы можете декодировать его и использовать как пару логин:пароль, либо прописывать в заголовке как есть без дополнительного кодирования: `Authorization: Basic {API_KEY}`
{% endhint %}

## Создание API-ключа <a href="#api-keys" id="api-keys"></a>

Во всех запросах авторизация происходит при помощи api-ключа. При этом ключи делятся на четыре типа:

1. для работы с сообщениями (в описании методов –`{TOKEN_1}`)
2. для работы с системными сущностями (в описании методов –`{TOKEN_2}`)
3. для работы с API подтверждения телефона / виджетом подтверждения телефона для своего сайта (в описании методов – `{TOKEN_3}`)
4. для работы с виджетом подтверждения телефона для сайта на Tilda (в описании методов – `{TOKEN_4}`)

Все типы ключей создаются в веб-интерфейсе личного кабинета [Direct](https://direct.i-dgtl.ru).

* Перейдите в пункт меню "Разработчикам"

<figure><img src=".gitbook/assets/Снимок экрана 2026-04-29 в 16.54.56.png" alt=""><figcaption></figcaption></figure>

* Нажмите "Создать ключ", укажите название, тип и центр разделения трафика (для методов работы с трафиком)

<figure><img src=".gitbook/assets/SCR-20260429-oyvm.png" alt="" width="375"><figcaption></figcaption></figure>

* Нажмите "Создать", дождитесь результата&#x20;

{% hint style="warning" %}
**Обязательно скопируйте ключ**, прежде чем закрывать окно: у вас больше не будет возможности его посмотреть.
{% endhint %}

<figure><img src=".gitbook/assets/Снимок экрана 2026-04-29 в 17.09.51 (1).png" alt=""><figcaption></figcaption></figure>

## Действия с API-ключами

После создания API-ключ можно деактивировать, перевыпустить и удалить.

<figure><img src=".gitbook/assets/Снимок экрана 2026-04-29 в 17.13.04.png" alt=""><figcaption></figcaption></figure>

* **При деактивации** API-ключ перестает проходить авторизацию, на все запросы возвращается код HTTP 401.  Ключ можно снова активировать в любой момент в боковом меню.
* **При перевыпуске** старый ключ сразу перестает работать, вместо него вы получаете новый.
* **При удалении** старый ключ сразу перестает работать.



## Встраивание API во фронтенд

Мы заботимся о вашей безопасности, поэтому API Direct предназначен исключительно для вызовов с защищенных серверов. При попытке выполнения API-запросов из браузера будет возникать CORS-ошибка, запрос OPTIONS для методов не доступен. Исключение из этого правила составляет только сервис [Верификация телефона на Tilda](verifier/tilda/).

## Ограничения по IP

По умолчанию доступ по API-ключу предоставляется из-под любых IP-адресов, но вы можете обратиться в поддержку и сообщить нам IP-адреса или подсети, которыми вы бы хотели ограничить доступ.

При включенном ограничении доступа при запросе, выполненном из-под неразрешенного IP-адреса, в ответе будет возвращаться ошибка **HTTP 401** с телом:

```
{
    "error": {
        "code": 4013,
        "msg": "IP not allowed"
    }
}
```