Tworzenie tokenów API

Utwórz osobisty token API w Asset Managerze i używaj go z REST API.

Tworzenie tokena

  1. Zaloguj się do Asset Managera pod adresem https://app.footage.one/account.
  2. Otwórz sekcję API Key.
  3. Kliknij Wygeneruj API Key.
  4. Skopiuj token — jest wyświetlany w całości tylko raz.

Uwaga: Sekcja w interfejsie nosi nazwę „API Key", natomiast w tej dokumentacji i nagłówku HTTP używamy określenia „token API". Oba terminy oznaczają to samo.

Token jest powiązany z Twoim kontem użytkownika i ma takie same uprawnienia jak Ty — traktuj go jak hasło.

Używanie tokena

Tokeny API są używane z REST API pod adresem https://app.footage.one/api/asset/.... Przekazywane są przez nagłówek apiKey (bez prefiksu Bearer):

GET /api/asset/albums HTTP/1.1
Host: app.footage.one
apiKey: <TWOJ_TOKEN_API>

Przykład z curl:

curl -H "apiKey: TWOJ_TOKEN_API" \
  https://app.footage.one/api/asset/albums

Uwaga: Dokładny mechanizm uwierzytelniania na endpoincie REST jest właśnie ujednolicany (w toku). Aktualnie backend akceptuje kilka wariantów uwierzytelniania równolegle (nagłówek apiKey, Authorization z JWT, userId + apiKey). Zalecamy nagłówek apiKey dla uwierzytelniania tokenem — jeśli Twój przypadek użycia wymaga dodatkowo nagłówka userId, jest to wskazówka, że masz do czynienia z endpointem wewnętrznym.

Endpoint MCP (osobny — tylko JWT)

Zewnętrzny serwer MCP pod adresem https://mcp.footage.one/mcp nie akceptuje nagłówka apiKey. Używa wyłącznie tokenów JWT Bearer z przepływu OAuth2:

Authorization: Bearer <jwt_z_przepływu_oauth>

Uwierzytelnianie Bearer ze statycznym tokenem API na endpoincie MCP jest w przygotowaniu, ale jeszcze niedostępne. Dla headless integracji na dziś: używaj REST API bezpośrednio.

Publiczne vs. wymagające tokena (REST)

Nie wszystkie endpointy REST wymagają uwierzytelniania. Szybki przegląd:

Wzorzec endpointu Uwierzytelnianie
/api/asset/ (Root) Publiczny (Discovery)
/api/asset/configuration/archive Publiczny
/api/asset/public/... Publiczny
Wszystkie inne (/assets, /albums, /search/...) Token wymagany

Publiczne endpointy są idealne do anonimowych demonstracji lub udostępnianych linków publicznych.

Konta serwisowe? (jeszcze nie)

Aktualnie istnieje jeden token API na konto użytkownika, bez dedykowanego koncepcji konta serwisowego. Jeśli prowadzisz aplikację zewnętrzną obsługującą wielu użytkowników, użyj zamiast tego OAuth2 z PKCE.

Rotacja / unieważnienie tokena

W obszarze konta możesz w dowolnym momencie wygenerować nowy token — stary natychmiast traci ważność.

Następne kroki

HATEOASOAuth2