Документация
Войти

Описание API

Авторизация в API

Все эндпоинты API Bitscore защищены механизмом HTTP Basic Auth. В качестве логина выступает идентификатор компании (tenant_id), в качестве пароля — ваш API-ключ. Базовый домен API (<basic_domain>) выдаётся вместе с доступом. Сам API-ключ выпускается в личном кабинете на my.bitscore.ru — в разделе «Ключи API».

Получение API-ключа

Чтобы выпустить ключ, в личном кабинете:

  1. Откройте меню профиля и перейдите в раздел «Ключи API».
  2. Нажмите «Добавить новый ключ».
  3. Укажите имя ключа и нажмите «Применить».
  4. В меню созданного ключа выберите «Копировать ключ».
Раздел «Ключи API» в личном кабинете: создание и копирование ключа.
Раздел «Ключи API»: создание и копирование ключа 123
  1. 1 Добавить новый ключ Создаёт API-ключ; задайте имя и нажмите «Применить». Позволяет выпускать отдельные ключи под разные интеграции и системы — например, отдельно для скоринга в проде и для тестового контура, чтобы при компрометации отозвать только один.
  2. 2 Раздел «Ключи API» Раздел личного кабинета со списком ваших ключей. AML-офицер использует его для инвентаризации доступов и контроля, какие интеграции имеют право обращаться к API.
  3. 3 Блок ключа Здесь появляются выпущенные ключи; меню ключа — «Копировать». Через это меню ключ передают в настройки внешней системы и отзывают при увольнении сотрудника или подозрении на утечку.
⚠️

Ключ показывается один раз — сохраните его сразу. Скомпрометированный ключ можно отозвать и выпустить новый. Лимит вызовов отображается на странице управления лицензией.

Идентификатор компании

Второй элемент авторизации — tenant_id. Его можно скопировать на странице «Профиль компании»: это идентификатор организации рядом с её названием.

Для чего это нужно?

Идентификатор компании однозначно привязывает все запросы и результаты скоринга к вашей организации и её лицензии. Для аналитика это означает, что любая проверка адреса выполняется под учётной записью компании, а обращения корректно учитываются в лимитах и логах. При расследованиях и подготовке отчётности связка tenant_id + ключ позволяет однозначно установить, в рамках какого контура и кем был запрошен риск-скоринг.

Basic-авторизация

Сформируйте строку tenant_id:api_key и закодируйте её в Base64 — полученное значение передаётся в заголовке Authorization: Basic.

bash
echo -n '<tenant_id>:<api_key>' | base64
# пример:
echo -n '29417abd-bae1-4d3e-82db-a2d7c261c722:ijfdglbnvdjlkfbvnslkv' | base64
# результат:
Mjk0MTdhYmQtYmFlMS00ZDNlLTgyZGItYTJkN2MyNjFjNzIyOmlqZmRnbGJudmRqbGtmYnZuc2xrdg==

Для чего это нужно?

HTTP Basic Auth — стандартный и предсказуемый способ аутентификации, который легко встроить в любую комплаенс-систему, RPA-сценарий или скрипт пакетной проверки адресов. Кодирование tenant_id:api_key в Base64 даёт готовый заголовок, который аналитик один раз прописывает в интеграции и далее использует во всех вызовах. Корректно настроенная авторизация гарантирует, что обращения к скорингу выполняются от имени компании и попадают в аудиторский след, необходимый для подтверждения проведённых проверок по 115-ФЗ.

Пример запроса

Готовый заголовок используется во всех вызовах API:

bash
curl -X 'POST' \
  'https://<basic_domain>/markup/risk_score/0x.../deposit/?chain=ETH' \
  -H 'accept: application/json' \
  -H 'Authorization: Basic Mjk0MTdhYmQtYmFlMS00ZDNlLTgyZGItYTJkN2MyNjFjNzIyOmlqZmRnbGJudmRqbGtmYnZuc2xrdg=='

Дальше можно вызывать эндпоинты риск-скоринга и сводки по адресу.

Частые вопросы

Ключ выпускается в личном кабинете на my.bitscore.ru в разделе «Ключи API». Нажмите «Добавить новый ключ», задайте имя, нажмите «Применить», затем через меню ключа выберите «Копировать ключ».

Рекомендуем выпускать отдельный ключ под каждую интеграцию — так проще контролировать доступы и отзывать их по отдельности.

Ключ показывается только один раз при создании — сохраните его сразу в защищённом хранилище секретов и никогда не передавайте по открытым каналам. Не храните ключ в публичных репозиториях и клиентском коде.

Если ключ скомпрометирован, его можно отозвать в разделе «Ключи API» и выпустить новый. Отзыв ключа стоит выполнять также при увольнении сотрудника или смене подрядчика.

tenant_id — это идентификатор вашей компании (организации) в Bitscore. В схеме HTTP Basic Auth он выступает в роли логина, а API-ключ — в роли пароля.

Скопировать tenant_id можно на странице «Профиль компании» рядом с названием организации.

basic_domain — это базовый домен API, на который отправляются все запросы (например, в URL вида https://<basic_domain>/markup/...). Он выдаётся вашей компании вместе с доступом к API.

Если вы не знаете свой базовый домен, уточните его у менеджера Bitscore или в личном кабинете.

Код 402 означает, что исчерпан лимит вызовов по вашей лицензии. Запросы к API временно отклоняются, пока лимит не будет обновлён или расширен.

Текущий остаток лимита и условия лицензии отображаются на странице управления лицензией. Для увеличения лимита обратитесь к менеджеру Bitscore.

Сформируйте строку tenant_id:api_key и закодируйте её в Base64. Полученное значение передаётся в заголовке Authorization: Basic <base64> в каждом запросе.

Один и тот же заголовок используется во всех вызовах API — его удобно один раз сохранить в настройках вашего HTTP-клиента или интеграции.