OAuth 2.0 — planerad framtida auth

Idag: X-API-Key. Imorgon: OAuth med refresh tokens.

Uppdaterad 2026-05-19

Status idag

Natomrade använder statiska API-nycklar i X-API-Key-header. Enkelt, fungerar bra för intern integration och små partners.

När OAuth blir relevant

OAuth 2.0 är bättre när: - Flera applikationer kommer åt natomrade på uppdrag av samma användare - Användarsamtycke krävs (t.ex. tredjepartsapp som vill läsa din nätägare-info) - Tokens behöver fortlöpande verifieras vid återkallande - Scopes behövs (granular permissions)

Planerad design

POST /oauth/authorize    → omdirigerar till login + samtycke
POST /oauth/token        → byter authorization-code mot access_token + refresh_token
GET  /oauth/me           → user-info för token-innehavaren
POST /oauth/revoke       → återkalla token

Access token-format (planerat)

JWT med claims:

{
  "sub": "user-uuid",
  "iss": "natomrade.airpipe.ai",
  "aud": "api.natomrade.airpipe.ai",
  "exp": 1716480000,
  "iat": 1716476400,
  "scope": "lookup:read prices:read",
  "tier": "pro"
}

Scopes (planerade)

Scope Vad det tillåter
lookup:read Slå upp postnr/adress
prices:read Hämta spotpriser
production:read Hämta produktion
owners:read Lista och hämta nätägar-detaljer
usage:read Egen användningsstatistik

Kompatibilitet

När OAuth lanseras behåller vi X-API-Key parallellt minst 12 mån. Befintliga partners byter på sin egen tidplan.

När?

Beror på efterfrågan. Hör av dig om OAuth är viktigt för din integration.

Idag — börja med API-nyckel

För dagens behov räcker X-API-Key. Se API-nycklar för detaljer.