المصادقة

نوعان من المفاتيح.

مفتاح المنصة (خادم إلى خادم، CRUD كامل)

استخدم Bearer token من خادمك الخلفي:

Authorization: Bearer dzpk_live_<key_id>.<secret>

الشكل هو prefix_keyid.secret — كلا الجزأين مطلوب. السر يُعرض مرة واحدة فقط عند الإنشاء ولن يظهر مجددًا.

المفتاح العام (المتصفح / المواقع الخارجية؛ موقّع بـ HMAC)

لتتبّع اشتراكات المستخدمين النهائيين وأحداثهم المخصصة من موقع تُدمج فيه السكربت الخاص بنا. يجب توقيع كل نداء من خادمك الخلفي — لا تكشف سر التوقيع للمتصفح أبدًا.

الرؤوس:

Authorization: DZ-Public dzpub_live_<key_id>
X-DZ-Timestamp: <unix_seconds>
X-DZ-Nonce: <32-hex>
X-DZ-Signature: hex(hmac_sha256(signing_secret, key_id + "\n" + nonce + "\n" + ts + "\n" + sha256(body)))

الـ nonce يُستخدم مرة واحدة فقط لكل مفتاح (نافذة KV لمدة ساعة) ويمنع إعادة التشغيل. الطابع الزمني يجب أن يكون ضمن ±5 دقائق.

الصلاحيات (Scopes)

كل مفتاح له قائمة من الصلاحيات. صلاحيات منصة افتراضية: store:read, store:write, products:read, products:write, orders:read, orders:write, customers:read, landing_pages:read, landing_pages:write, webhooks:read, webhooks:write, usage:read.

صلاحيات عامة افتراضية: signups:write, events:write.