Authentifizierung

Bearer Secret-Key — Restaurant wird aus dem Schlüssel abgeleitet.

Sende den API-Schlüssel im Header. Es ist kein Slug in der URL nötig — das Restaurant ergibt sich aus dem Key.

GET /api/v1/menu
Authorization: Bearer gwada_sk_live_…
Accept: application/json

Secret-Key

  • Format: gwada_sk_live_…
  • Wird beim Erstellen nur einmal angezeigt
  • Danach nur noch Prefix sichtbar — bei Verlust neuen Key anlegen
  • Funktioniert nur, wenn das Restaurant veröffentlicht ist

Module pro Key

Jeder Schlüssel hat eine Modulliste. Anfragen an nicht freigeschaltete Endpunkte antworten mit 403 module_not_enabled.

Domains (optional)

Optional kann pro Key eine Origin-Allowlist gesetzt werden (für Browser-Aufrufe). Server-zu-Server ohne Origin-Header bleibt erlaubt, wenn die Liste leer ist. Details: Rate Limits & Fehler.