Voltar ao site
Syncro

Autenticação

A API do Syncro usa uma API Key enviada no header `X-API-Key`. Toda requisição precisa desse header — não há login por usuário/senha nem OAuth.

Base URLhttps://app.syncro.chat/api/v1AuthX-API-Key: crm_SUA_CHAVE_AQUI

Método de autenticação

Envie a sua chave no header X-API-Key em todas as requisições:

X-API-Key: crm_SUA_CHAVE_AQUI

A chave identifica a sua conta (tenant). Todos os dados retornados e criados ficam restritos à conta dona da chave.

Como gerar o seu token

  1. Acesse o painel do Syncro e vá em Configurações → API Keys (/configuracoes/api-keys).
  2. Clique em Nova API Key, dê um nome (ex.: "Integração n8n") e confirme.
  3. Copie a chave na hora. Ela é exibida uma única vez. O Syncro guarda apenas um hash da chave — se você perder, terá que gerar outra.
  4. O formato da chave é crm_ seguido de uma sequência aleatória (ex.: crm_a1b2c3d4...). Depois da criação, o painel mostra só o prefixo (crm_...) para identificação.

Para revogar uma chave, volte em Configurações → API Keys e exclua a chave — o acesso é cortado imediatamente.

Formato do header

X-API-Key: crm_SUA_CHAVE_AQUI
Content-Type: application/json

Exemplo de requisição

curl https://app.syncro.chat/api/v1/account \
  -H "X-API-Key: crm_SUA_CHAVE_AQUI" \
  -H "Content-Type: application/json"

Permissões (escopos)

Cada operação exige uma permissão. Uma chave nova é criada com acesso total (todas as permissões). Os escopos por recurso são:

Recurso Leitura Escrita
Leads leads:read leads:write
Pipelines pipelines:read — (somente leitura)
Campos personalizados custom_fields:read — (somente leitura)
Sequências de nutrição sequences:read sequences:write
Tarefas tasks:read tasks:write
WhatsApp whatsapp:read whatsapp:write
Conta / Usuários users:read — (somente leitura)
Webhooks webhooks:read webhooks:write

Quando uma chave não tem a permissão necessária, a API responde 403 com o campo required_permission indicando o escopo que faltou (veja Erros e limites).

Segurança e boas práticas

  • Guarde a chave em variável de ambiente ou cofre de segredos — nunca no código-fonte versionado nem no front-end.
  • Use sempre HTTPS.
  • Gere uma chave por integração para conseguir revogar individualmente.
  • Se suspeitar de vazamento, exclua a chave e gere outra.