Suporte

API REST.

Última atualização: 20 de abril de 2026 · v1.

Visão geral

A API da Automatiza é REST sobre HTTPS, JSON em todas as respostas, versionada por path (/api/v1/...). Mesmo modelo de dados do app web — qualquer recurso que você vê na interface tem endpoint correspondente.

  • Base URL: https://automatiza.scorp.digital/api/v1
  • Swagger interativo: /docs (UI Swagger UI)
  • OpenAPI JSON: /openapi.json
  • ReDoc: /redoc

Autenticação

Há dois caminhos suportados:

  1. Cookie httpOnly + CSRF (web — automático, não precisa de bibliotecas);
  2. Bearer token JWT (mobile, integrações server-to-server).

Login (gera token)

POST /api/v1/auth/login
Content-Type: application/json

{"email": "voce@empresa.com", "password": "sua-senha"}

→ 200 OK
{
  "access_token": "eyJhbG...",
  "csrf_token": "abc123...",
  "user": { "id": "...", "email": "...", "tenant_id": "..." }
}

Para integrações server-to-server, envie o access_token recebido em Authorization: Bearer <token>. Tokens expiram em 15 minutos; renove via POST /auth/refresh.

Exemplo de chamada autenticada

curl -H "Authorization: Bearer $TOKEN" \
     https://automatiza.scorp.digital/api/v1/crm/contacts

Rate limits

  • Login / forgot-password: 5 tentativas / 15 min por (e-mail + IP);
  • API geral autenticada: 100 req/min por usuário;
  • Webhooks recebidos: sem limite (validação por assinatura);
  • CNPJ proxy (prospecção): 30 req/min.

Limite excedido → 429 Too Many Requests com header Retry-After.

Endpoints principais

Auth

POST/auth/login
POST/auth/refresh
POST/auth/logout
POST/auth/forgot-password

CRM

GET/crm/contacts
POST/crm/contacts
GET/crm/deals
GET/crm/pipeline

Financeiro

GET/financial/transactions
GET/financial/cashflow
GET/financial/accounts

RH & Folha

GET/hr/employees
GET/hr/payroll

PDV

POST/pos/terminal/checkout
GET/pos/products

Marketing

GET/landing-pages
GET/forms
GET/segments
GET/journeys

O Swagger em /docs tem a lista completa (50+ módulos), schemas Pydantic e o "Try it out" pra testar autenticado.

Webhooks

Você pode registrar webhooks para receber eventos da plataforma (lead criado, venda fechada, contato atualizado, etc).

POST /api/v1/webhooks
{
  "url": "https://seu-app.com/automatiza-hook",
  "events": ["contact.created", "deal.closed_won", "form.submission"],
  "secret": "gere-um-secret-forte"
}

Cada chamada inclui X-Automatiza-Signature com HMAC-SHA256(body, secret). Valide antes de processar.

Multi-tenant

Todos os endpoints filtram automaticamente pelo tenant_id do usuário autenticado. Não é possível ler dados de outro tenant via API. O header X-Tenant-ID é ignorado em favor da identidade do JWT.

Suporte técnico

Encontrou algo errado ou quer pedir um endpoint novo? Escreva para api@scorp.digital ou abra ticket pelo painel.

Para testes rápidos, recomendamos a coleção Postman ou usar o "Try it out" direto no Swagger UI.