API do WhizBuddy

REST sobre HTTPS. JSON em ambas as direções. Autenticação via JWT Bearer (HS256, expiração 15min) com refresh token rotativo. Todas as rotas vivem sob /v1.

Princípios

• Versionada — toda rota tem prefixo /v1. Breaking changes ganham /v2.
• Idempotente quando possível — POST de jobs aceita header Idempotency-Key.
• Erros consistentes — formato { error: { code, message, details? } }.
• Rate-limited — 60 req/min por IP, 600/min por usuário autenticado.
• Observável — todo erro 5xx vai pro audit log e pro /v1/metrics.