API og autentisering

API-et er inngangen for alle klienter og integrasjoner. Samtidig finnes det flere typer autentisering avhengig av hvem som snakker med systemet.

Vanlige innganger

brukerinnlogging for web og mobil
PAT for personlige integrasjoner eller utviklerbruk
service account- og integrasjonstokens for maskin-til-maskin-scenarioer

Hva du bruker når

Vanlig brukerflyt

Web og mobil bruker ordinær auth-flyt, refresh og organisasjonstilknytning.

PAT

Passer når en bruker selv skal lage enklere integrasjoner mot API-et uten å bygge full auth-flyt.

Service accounts

Brukes når en integrasjon skal jobbe på vegne av en organisasjon uten en fysisk sluttbruker.

Swagger og API-forståelse

Swagger er den raskeste måten å se hvilke endepunkter som finnes, men dokumentasjonen her prøver å forklare domenene og konsekvensene av å bruke dem.

Need to know for brukere av API-et

autorisasjon er ressursbasert, ikke bare “innlogget eller ikke”
samme endepunkt kan ha ulik effekt avhengig av organisasjonsflagg og flytmodell
noen endepunkter finnes fortsatt for bakoverkompatibilitet og bør ikke være førstevalg i ny kode

Se også

Nerdehjørnet

Praktisk tips: Hold et enkelt curl-kall med PAT klart før du bygger mer avansert klientlogikk.

curl "$BASE_URL/reports?limit=10" \
  -H "Authorization: Bearer $PAT" \
  -H "Accept: application/json"

Autentisering avgjør hvem du er, mens autorisasjon avgjør hva du kan gjøre i valgt organisasjon. Hvis du bygger klienter eller integrasjoner, bør du teste både PAT- og service account-scenarioer, håndtere tokenutløp eksplisitt, og alltid sende riktig organisasjonskontekst når samme person har tilgang flere steder.

Vanlige innganger​

Hva du bruker når​

Vanlig brukerflyt​

PAT​

Service accounts​

Swagger og API-forståelse​

Need to know for brukere av API-et​

Se også​