Skip to content

Lấy API Token

Tổng quan

API token là Bearer (phiên user) token cấp cho user của khách hàng. Mỗi user tự quản lý token riêng — admin có thể revoke token của user khác.

Lấy token từ tài khoản đã được cấp

  1. Đăng nhập vào trang admin: https://app.zorio.vn
  2. Vào Cài đặtAPI Tokens.
  3. Bấm Tạo token mới → đặt tên + chọn permission scope.
  4. Sao chép token ngay — chỉ hiển thị 1 lần. Mất → revoke + tạo mới.

Bảo mật token

  • KHÔNG commit token vào git.
  • KHÔNG nhúng token trong code frontend.
  • Lưu token ở vault/secret manager (1Password, AWS Secrets Manager, ...).
  • Token có thể bị revoke bất cứ lúc nào → CRM cần handle 401 graceful.

Dùng token trong request

Mọi request HTTP gửi tới API kèm 2 header:

Authorization: Bearer <YOUR_TOKEN>
Accept: application/json

Ví dụ cURL

bash
curl -X GET 'https://app.zorio.vn/api/pbx/extensions' \
  -H 'Authorization: Bearer 1|abcdefghijklmnopqrstuvwxyz0123456789' \
  -H 'Accept: application/json'

Ví dụ Node.js

js
const response = await fetch('https://app.zorio.vn/api/pbx/extensions', {
  headers: {
    Authorization: 'Bearer ' + process.env.ZORIO_TOKEN,
    Accept: 'application/json',
  },
});
const json = await response.json();

Token rotation

Khuyến nghị rotation 90 ngày 1 lần — chuẩn ngành.

Khi token bị revoke

API trả HTTP 401 với body:

json
{ "message": "Unauthenticated." }

CRM cần catch 401 → hiển thị thông báo "Token hết hạn" + hướng dẫn user vào trang admin lấy token mới.

Cấp phép theo điều khoản sử dụng của Zorio.