API

Klucz API EZD RP — uprawnienia i bezpieczeństwo

Klucz API EZD RP: identyfikator aplikacji + kontekst użytkownika. Zarządzanie kluczami, uprawnienia, bezpieczeństwo, rotacja.

Bazujemy na oficjalnych źródłach NASK / gov.pl. Linki źródłowe: na dole strony.
Ilustracja: API — Klucz API EZD RP — uprawnienia i bezpieczeństwo

Klucz API to identyfikator aplikacji (np. systemu FK, systemu rekrutacji), która łączy się z EZD RP. Ale każda operacja zapisu (dodanie dokumentu, zakładanie sprawy) wykonywana jest w kontekście konkretnego użytkownika — to ważne dla audytu i odpowiedzialności.

Klucz API ≠ konto użytkownika

Częsty błąd integratora: traktowanie klucza API jak loginu. To źle:

  • Klucz API identyfikuje aplikację — daje prawo do łączenia się z EZD RP
  • Kontekst użytkownika identyfikuje, w czyim imieniu wykonywana jest operacja
  • Operacja zapisu bez kontekstu użytkownika — najczęściej błąd 403 lub niepełny audyt

Hierarchia uprawnień

ElementCo kontroluje
Klucz API aplikacjiCzy aplikacja może łączyć się z EZD RP. Może mieć scopes (zakresy uprawnień).
Kontekst użytkownikaCo dana operacja może zrobić. Użytkownik widzi tylko swoje sprawy / dokumenty.
Rola użytkownika w EZD RPCo użytkownik może w systemie (kancelaria, dekretacja, archiwum).
Uprawnienia komórkiW jakim zakresie organizacyjnym użytkownik działa.

Bezpieczeństwo klucza API

Reguły bezpieczeństwa
  • Klucz API NIGDY w kodzie źródłowym — tylko w secret store (Kubernetes Secret, HashiCorp Vault, env vars)
  • Klucz API ROTOWANY co 6-12 miesięcy (lub po opuszczeniu zespołu przez kogoś z dostępem)
  • Klucz API z minimalnymi scopes — tylko to, czego naprawdę potrzeba
  • Klucz API z nazwą identyfikującą aplikację (np. 'fk-system-prod') — łatwiejszy audyt
  • Logi użycia klucza monitorowane — alert na nietypową aktywność
  • Procedura unieważnienia klucza w razie wycieku
Wyciek klucza API = poważny incydent
Klucz API daje dostęp do danych jednostki. Wyciek = obowiązek zgłoszenia incydentu i natychmiastowa rotacja. Nie traktuj klucza jak hasła do mailingu.
Źródła oficjalne
Sprawdzone: 30 maja 2026
Audyt bezpieczeństwa integracji

Sprawdzimy, czy klucze API są zarządzane zgodnie z najlepszymi praktykami.

Umów audyt
Wsparcie wdrożeniowe
Potrzebujesz wsparcia we wdrożeniu lub konfiguracji? Skontaktuj się z zespołem Lynx360 — bezpłatna pierwsza konsultacja.
Skonsultuj integrację API →

Czytaj dalej

Integracje
API EZD RP: integracje, Swagger, klucze i piaskownica
Przewodnik po API EZD RP dla integratorów i urzędów: dostęp do piaskownicy, Swagger, klucze API, upload-tokeny, RPW, JRWA i bezpieczeństwo.
API
Upload-token w EZD RP — mechanizm i użycie
Upload-token to krótkoterminowy token dostępu do uploadu plików w EZD RP. Wyjaśniamy mechanizm, czas życia, typowe błędy i jak go użyć w integracji.
API
Swagger API EZD RP — jak czytać dokumentację
Swagger / OpenAPI to format publicznej dokumentacji API EZD RP. Jak nawigować po dokumentacji, czytać schematy, testować endpointy bez pisania kodu.