Autenticação
A API do Syncro usa uma API Key enviada no header `X-API-Key`. Toda requisição precisa desse header — não há login por usuário/senha nem OAuth.
Base URL
https://app.syncro.chat/api/v1AuthX-API-Key: crm_SUA_CHAVE_AQUIMétodo de autenticação
Envie a sua chave no header X-API-Key em todas as requisições:
X-API-Key: crm_SUA_CHAVE_AQUI
A chave identifica a sua conta (tenant). Todos os dados retornados e criados ficam restritos à conta dona da chave.
Como gerar o seu token
- Acesse o painel do Syncro e vá em Configurações → API Keys (
/configuracoes/api-keys). - Clique em Nova API Key, dê um nome (ex.: "Integração n8n") e confirme.
- Copie a chave na hora. Ela é exibida uma única vez. O Syncro guarda apenas um hash da chave — se você perder, terá que gerar outra.
- O formato da chave é
crm_seguido de uma sequência aleatória (ex.:crm_a1b2c3d4...). Depois da criação, o painel mostra só o prefixo (crm_...) para identificação.
Para revogar uma chave, volte em Configurações → API Keys e exclua a chave — o acesso é cortado imediatamente.
Formato do header
X-API-Key: crm_SUA_CHAVE_AQUI
Content-Type: application/json
Exemplo de requisição
curl https://app.syncro.chat/api/v1/account \
-H "X-API-Key: crm_SUA_CHAVE_AQUI" \
-H "Content-Type: application/json"
Permissões (escopos)
Cada operação exige uma permissão. Uma chave nova é criada com acesso total (todas as permissões). Os escopos por recurso são:
| Recurso | Leitura | Escrita |
|---|---|---|
| Leads | leads:read |
leads:write |
| Pipelines | pipelines:read |
— (somente leitura) |
| Campos personalizados | custom_fields:read |
— (somente leitura) |
| Sequências de nutrição | sequences:read |
sequences:write |
| Tarefas | tasks:read |
tasks:write |
whatsapp:read |
whatsapp:write |
|
| Conta / Usuários | users:read |
— (somente leitura) |
| Webhooks | webhooks:read |
webhooks:write |
Quando uma chave não tem a permissão necessária, a API responde 403 com o campo required_permission indicando o escopo que faltou (veja Erros e limites).
Segurança e boas práticas
- Guarde a chave em variável de ambiente ou cofre de segredos — nunca no código-fonte versionado nem no front-end.
- Use sempre HTTPS.
- Gere uma chave por integração para conseguir revogar individualmente.
- Se suspeitar de vazamento, exclua a chave e gere outra.