Ana içeriğe atla
Tahsil kullanıcı API’si Bearer oturumuyla çalışır. Login ve refresh uçları dışında korumalı çağrılar geçerli bir access token ister.

Oturum açma

Başarılı cevap kısa ömürlü accessToken, refresh bilgisi, aktif firma ve membership listesini döndürür. Access token çağrılarda kullanılır:

Web oturumu

Web oturumlarında x-auth-mode: cookie gönderildiğinde refresh token HttpOnly cookie içinde tutulur. İstemci credentials: include kullanmalı; sayfa yenilemede önce /auth/refresh, sonra /auth/me çağrılmalıdır. Access token yalnız uygulama belleğinde tutulur. Refresh token, access token, parola ve banka credential değerlerini localStorage, log veya analytics içine yazmayın.

API referansında canlı test

Salt okunur bir endpoint sayfasında Test Request bölümünü açın ve yalnız kısa ömürlü access token’ı Bearer alanına girin. İstek doğrudan api.tahsil.dev adresine gider; Mintlify proxy’si kullanılmaz. Test bittiğinde token alanını temizleyin ve sekmeyi kapatın. Login, refresh, logout, parola değişikliği ve veri değiştiren tüm operasyonlar canlı çalıştırmaya kapalıdır.

Çıkış

POST /auth/logout refresh oturumunu geçersiz kılar ve cookie tabanlı kullanımda oturum cookie’sini temizler.
Banka credential yönetimi, setup, manuel sync ve otomasyon işlemleri yalnız admin veya operator rolündeki kullanıcılar için açıktır.