Authenticatie

Twee methoden: Personal Access Tokens (eenvoudig) of OAuth 2.0 (voor third-party apps).

Personal Access Tokens

Aanmaken via /settings/api-keys. Tokens beginnen met pfk_ (live) of pfk_test_ (test-mode). Bewaar ze als een wachtwoord: ze geven volledige toegang tot je workspace volgens de scopes die je selecteert.

Authorization: Bearer pfk_live_abc123...

Scopes

• campaigns:read, campaigns:write
• assets:read, assets:write
• ads:read, ads:write
• ai:invoke — voor copy-generator (verbruikt rate limit)
• webhooks:manage — voor webhook-CRUD
• admin — alles (alleen toekenbaar door workspace-owner)

OAuth 2.0 (voor third-party apps)

Bouw je een tool die voor meerdere Pitchfire-klanten werkt? Registreer een OAuth-app via /settings/oauth-apps (Agency-plan) en gebruik de standard OAuth 2.0 auth-code flow:

# 1. Redirect user to:
https://app.pitchfire.app/oauth/authorize?
  client_id=pf_oauth_abc&
  redirect_uri=https://yourapp.com/cb&
  scope=campaigns:read+ads:read&
  state=<csrf-token>&
  response_type=code

# 2. Exchange code for token:
POST https://app.pitchfire.app/oauth/token
Content-Type: application/x-www-form-urlencoded

grant_type=authorization_code&code=...&client_id=...&client_secret=...&redirect_uri=...

# Response:
{ "access_token": "pfk_oauth_xxx", "expires_in": 3600, "refresh_token": "..." }

Token-rotatie en intrekking

Tokens kunnen op elk moment ingetrokken worden via /settings/api-keys. Bij een datalek of medewerkervertrek raden wij aan ALLE tokens te roteren via "Roteer alle tokens".

Best practices

• Bewaar tokens in een secret manager (1Password, Doppler, AWS Secrets Manager).
• Gebruik per-omgeving aparte tokens (dev/staging/prod).
• Kies het minst-bevoorrechte scope-niveau dat je app nodig heeft.
• Roteer minstens 1× per jaar of bij elke wijziging in je team.