Аутентификация

Все защищённые ручки принимают API-ключ в заголовке Authorization:

Authorization: Bearer na_live_xxxxxxxxxxxxxxxx

Создаётся в дашборде gateway.neuroartist.ru → Настройки → API-ключи → Новый ключ. Формат: na_live_ + 32 символа. Показывается один раз при создании.

Проверить, что ключ работает

curl https://api.neuroartist.ru/me \
  -H "Authorization: Bearer na_live_xxxxxxxxxxxxxxxx"

{
  "user": { "id": "u_…", "email": "you@example.com", "role": "user" },
  "auth": { "source": "apiKey", "apiKeyId": "key_abc" }
}

Если ключ невалиден или просрочен — 401 unauthorized.

Месячный лимит на ключ

В дашборде у каждого ключа можно поставить cap расхода в рублях за календарный месяц. Превышение → 429 key_limit_exceeded, сбрасывается 1 числа. Удобно для:

• ограничения партнёрской интеграции;
• sandbox-ключа с маленьким cap для тестов;
• защиты production от непредвиденного расхода.

Что нельзя через API-ключ

Несколько критичных операций сделаны только из дашборда — чтобы утечка ключа не привела к компрометации платёжных данных:

• управление API-ключами и сохранёнными картами;
• настройка авто-пополнения и webhook-секрета;
• POST /billing/topup и просмотр чеков;
• админские ручки (/admin/*).

Запрос таких ручек с Bearer-ключом вернёт 403 forbidden.

Практики для production

• Отдельный ключ для каждой среды (prod, local, CI).
• Хранить в env / secret manager, не в репозитории.
• При компрометации — удалить ключ в дашборде и создать новый. Старый сразу инвалидируется.
• Включить месячный cap, если ключ используется внешней системой.

Дальше

• Быстрый старт — первый запрос с ключом за 60 секунд.
• Сгенерировать изображение — POST /run со схемами параметров.
• Лимиты запросов — глобальные и per-key лимиты.