Lấy API Token
Tổng quan
API token là Bearer (phiên user) token cấp cho user của khách hàng. Mỗi user tự quản lý token riêng — admin có thể revoke token của user khác.
Lấy token từ tài khoản đã được cấp
- Đăng nhập vào trang admin:
https://app.zorio.vn - Vào Cài đặt → API Tokens.
- Bấm Tạo token mới → đặt tên + chọn permission scope.
- Sao chép token ngay — chỉ hiển thị 1 lần. Mất → revoke + tạo mới.
Bảo mật token
- KHÔNG commit token vào git.
- KHÔNG nhúng token trong code frontend.
- Lưu token ở vault/secret manager (1Password, AWS Secrets Manager, ...).
- Token có thể bị revoke bất cứ lúc nào → CRM cần handle 401 graceful.
Dùng token trong request
Mọi request HTTP gửi tới API kèm 2 header:
Authorization: Bearer <YOUR_TOKEN>
Accept: application/jsonVí dụ cURL
bash
curl -X GET 'https://app.zorio.vn/api/pbx/extensions' \
-H 'Authorization: Bearer 1|abcdefghijklmnopqrstuvwxyz0123456789' \
-H 'Accept: application/json'Ví dụ Node.js
js
const response = await fetch('https://app.zorio.vn/api/pbx/extensions', {
headers: {
Authorization: 'Bearer ' + process.env.ZORIO_TOKEN,
Accept: 'application/json',
},
});
const json = await response.json();Token rotation
Khuyến nghị rotation 90 ngày 1 lần — chuẩn ngành.
Khi token bị revoke
API trả HTTP 401 với body:
json
{ "message": "Unauthenticated." }CRM cần catch 401 → hiển thị thông báo "Token hết hạn" + hướng dẫn user vào trang admin lấy token mới.
