Безопасность и доступ
Аутентификация
Сессия, JWT, ключи API — где что применяется.
Вы в браузере и запрос с ключом afk_ из другой программы подтверждают доступ по-разному.
Веб-интерфейс
После входа приложение использует сессию или JWT в запросах к API того же хоста, что обслуживает веб-клиент: флоу, сохранение, секреты, ключи. Это не то же самое, что ключ afk_… для интеграций.
Webhook из другой системы
Заголовок:
Authorization: Bearer afk_…
Ключ с областью webhook и привязкой к диаграмме. Иначе ответ — 401 или 403.
MCP (IDE, агент)
POST /mcp/v1. Допускается:
- JWT как у пользователя после входа, или
- ключ
afk_…с областьюmcp, или - заголовок
X-MCP-Tokenс тем же значением, если клиент некорректно обрабатываетAuthorization.
Подробнее: MCP.
Публичная форма
Гость открывает /public/flow/<slug> без пароля. Доступ определяется знанием slug и тем, опубликована ли форма в интерфейсе флоу. Это не замена полноценной авторизации для чувствительных данных.