API · Autenticação

Como autenticar requisições na API Rollin Host com tokens Bearer, escopos disponíveis e boas práticas de segurança.

A API Rollin Host usa tokens Bearer com escopos. Cada token tem permissões granulares — você nunca deve usar um token “raiz” em produção.

Gerar um token

Acesse https://painel.rollinhost.com.br e vá em Conta → API tokens.
Clique em Criar token, nomeie (ex: provisionamento-prod) e selecione os escopos:
- vps:read — listar VPS e ver detalhes
- vps:write — criar / suspender / deletar VPS
- domains:read — listar domínios
- domains:write — registrar / transferir domínios
- invoices:read — listar faturas
- services:read — listar serviços contratados
Copie o token imediatamente. Ele aparece uma única vez. Se perder, gere outro.

Usar o token

curl https://api.rollinhost.com.br/v1/services \
  -H "Authorization: Bearer rh_live_abc123..." \
  -H "Accept: application/json"

Resposta esperada

{
  "data": [
    {
      "id": "srv_01HX3AB7DEF",
      "type": "vps",
      "plan": "vps-pro",
      "status": "active",
      "created_at": "2026-01-15T10:00:00Z"
    }
  ]
}

Erros de autenticação

Status	Significado
`401 Unauthorized`	Token inválido, expirado ou ausente
`403 Forbidden`	Token válido mas sem o escopo necessário
`429 Too Many Requests`	Rate limit excedido (60 req/min por token)

Rotação de tokens

Boa prática: rotacionar tokens a cada 90 dias.

Gere novo token com os mesmos escopos
Atualize variável de ambiente da aplicação
Confirme que requisições estão funcionando com o novo token
Revogue o token antigo no painel

Webhooks (em breve)

Em vez de fazer polling, você poderá receber webhooks de eventos:

service.created / service.suspended / service.terminated
invoice.paid / invoice.overdue
domain.transferred

Próximos passos

Visão geral da API

Última atualização: 15 de abril de 2026