Скоупы (права доступа)
Полная таблица скоупов Workspace API — что открывает каждое право и что заблокировано безусловно.
Скоупы (права доступа)
Каждый API-ключ выдаётся с явным набором скоупов. Скоуп — это строка вида ресурс:действие, например projects:read или products:write.
Таблица скоупов
| Скоуп | Открывает доступ к |
|---|---|
projects:read | Список сайтов, детали сайта |
projects:write | Создание, обновление, удаление сайтов |
pages:read | Список страниц, HTML страниц |
pages:write | Создание страниц, сохранение HTML, обновление настроек |
crm:read | Список лидов (заявок из форм), карточки клиентов |
crm:write | Смена статуса лида, создание заявки вручную |
products:read | Список товаров, категорий, заказов |
products:write | Создание и обновление товаров, управление заказами |
services:read | Список услуг, мастеров, расписаний |
services:write | Создание и обновление услуг, мастеров, расписаний |
bookings:read | Список записей клиентов |
bookings:write | Изменение статуса брони, управление записями |
files:read | Список файлов и папок |
files:write | Создание папок, загрузка файлов |
agents:read | Список AI-агентов, их настройки |
agents:write | Создание и обновление агентов |
blog:read | Список статей блога (только для ADMIN) |
blog:write | Создание, редактирование, публикация статей блога (только для ADMIN) |
admin:read | Доступ к административным данным (только для ADMIN) |
admin:write | Административные действия (только для ADMIN) |
Соответствие действия HTTP-методу
| HTTP-метод | Требуемое действие |
|---|---|
GET, HEAD | :read |
POST, PUT, PATCH, DELETE | :write |
Например, GET /api/products/list требует products:read, а POST /api/products/create — products:write.
Что заблокировано безусловно
Следующие пути недоступны через API-ключ никогда, независимо от скоупов:
| Заблокированный путь | Причина |
|---|---|
/api/payment/* | Финансовые операции (пополнение баланса, платежи) |
/api/finance/* | История операций, управление картами |
/api/account/change-* | Смена email и пароля аккаунта |
/api/workspace-keys/* | Управление самими API-ключами |
/api/agents/keys/* | API-ключи агентов |
/api/admin/impersonate/* | Импёрсонация пользователей |
/api/admin/balance-adjust | Ручная корректировка баланса |
Мета-маршруты
Путь /api/workspaces/* доступен с любым действующим ключом без проверки конкретного скоупа. Это позволяет получить список групп, к которым относится ключ.
Привилегированные скоупы
Скоупы blog:* и admin:* можно выдать только пользователю с ролью ADMIN. Если вы не администратор — эти скоупы при создании ключа недоступны.
Принцип минимальных прав
Выдавайте ровно то, что нужно скрипту прямо сейчас:
- Скрипт публикует товары →
products:write(включает и чтение — при write-запросе read не нужен отдельно). - AI-агент читает лиды и статусы → только
crm:read. - Автоматизация блога →
blog:write(требует роли ADMIN на аккаунте).