Residual Reach expose une API REST sécurisée par JWT Supabase. Toutes les routes authentifiées nécessitent un cookie de session valide.
Les routes marquées Auth required nécessitent d'être connecté via Supabase Auth. Le cookie de session (sb-hhxxeozkpytdabhtvezy-auth-token) est automatiquement envoyé par le navigateur. Pour une intégration serveur-à-serveur, utilisez un Bearer token Supabase dans l'en-tête Authorization.
Tous les webhooks entrants vérifient la signature cryptographique de l'émetteur avant traitement :
| POST /api/campaigns/[id]/run | Limité par quota mensuel (plan Stripe) |
| POST /api/campaigns/[id]/crawl | Limité par concurrence Trigger.dev |
| POST /api/keys | 10 req/min par utilisateur |
| POST /api/stripe/checkout | 5 req/min par utilisateur |
| POST /api/optout | Illimité (RGPD) |