OAuth 2.0 — planerad framtida auth
Idag: X-API-Key. Imorgon: OAuth med refresh tokens.
Status idag
Natomrade använder statiska API-nycklar i X-API-Key-header. Enkelt, fungerar bra för intern integration och små partners.
När OAuth blir relevant
OAuth 2.0 är bättre när: - Flera applikationer kommer åt natomrade på uppdrag av samma användare - Användarsamtycke krävs (t.ex. tredjepartsapp som vill läsa din nätägare-info) - Tokens behöver fortlöpande verifieras vid återkallande - Scopes behövs (granular permissions)
Planerad design
POST /oauth/authorize → omdirigerar till login + samtycke
POST /oauth/token → byter authorization-code mot access_token + refresh_token
GET /oauth/me → user-info för token-innehavaren
POST /oauth/revoke → återkalla token
Access token-format (planerat)
JWT med claims:
{
"sub": "user-uuid",
"iss": "natomrade.airpipe.ai",
"aud": "api.natomrade.airpipe.ai",
"exp": 1716480000,
"iat": 1716476400,
"scope": "lookup:read prices:read",
"tier": "pro"
}
Scopes (planerade)
| Scope | Vad det tillåter |
|---|---|
lookup:read |
Slå upp postnr/adress |
prices:read |
Hämta spotpriser |
production:read |
Hämta produktion |
owners:read |
Lista och hämta nätägar-detaljer |
usage:read |
Egen användningsstatistik |
Kompatibilitet
När OAuth lanseras behåller vi X-API-Key parallellt minst 12 mån. Befintliga partners byter på sin egen tidplan.
När?
Beror på efterfrågan. Hör av dig om OAuth är viktigt för din integration.
Idag — börja med API-nyckel
För dagens behov räcker X-API-Key. Se API-nycklar för detaljer.