> ## Documentation Index
> Fetch the complete documentation index at: https://docs.blnkfinance.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Create API key

> How to create a new API key with fine-grained permissions in Blnk.

export const CtaCallout = props => {
  const {title, buttonLabel, href, trackingEvent, buttonTarget, rel = "noopener noreferrer", children} = props;
  const handleCtaClick = () => {
    if (typeof window === "undefined" || !trackingEvent) {
      return;
    }
    try {
      window.dispatchEvent(new CustomEvent("blnk:docs-cta", {
        detail: {
          name: trackingEvent,
          href
        }
      }));
    } catch {}
    try {
      window.posthog?.capture?.(trackingEvent, {
        href
      });
    } catch {}
    const gaPayload = {
      cta_href: href
    };
    try {
      window.gtag?.("event", trackingEvent, gaPayload);
    } catch {}
    try {
      window.dataLayer = window.dataLayer || [];
      window.dataLayer.push({
        event: trackingEvent,
        ...gaPayload
      });
    } catch {}
  };
  const isExternal = typeof href === "string" && (/^https?:\/\//i).test(href);
  const target = buttonTarget ?? (isExternal ? "_blank" : undefined);
  const linkRel = isExternal ? rel : undefined;
  return <section className="cta-callout not-prose relative my-8 w-full min-w-0 overflow-hidden rounded-xl border border-zinc-200 p-5 dark:border-white/10">
      <div className="cta-callout-noise" aria-hidden="true" />
      <div className="cta-callout-layout">
        {title ? <div className="cta-callout-title-row">
            <svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 28 28" width="14" height="14" className="cta-callout-icon shrink-0 text-zinc-800 dark:text-zinc-200" aria-hidden="true">
              <g fill="none" fillRule="nonzero">
                <path d="M28 0v28H0V0h28ZM14.691833333333335 27.134333333333334l-0.012833333333333334 0.0023333333333333335 -0.08283333333333333 0.04083333333333334 -0.023333333333333334 0.004666666666666667 -0.016333333333333335 -0.004666666666666667 -0.08283333333333333 -0.04083333333333334c-0.011666666666666667 -0.004666666666666667 -0.022166666666666668 -0.0011666666666666668 -0.028000000000000004 0.005833333333333334l-0.004666666666666667 0.011666666666666667 -0.019833333333333335 0.49933333333333335 0.005833333333333334 0.023333333333333334 0.011666666666666667 0.015166666666666667 0.12133333333333333 0.08633333333333333 0.0175 0.004666666666666667 0.014000000000000002 -0.004666666666666667 0.12133333333333333 -0.08633333333333333 0.014000000000000002 -0.018666666666666668 0.004666666666666667 -0.019833333333333335 -0.019833333333333335 -0.4981666666666667c-0.0023333333333333335 -0.011666666666666667 -0.0105 -0.019833333333333335 -0.019833333333333335 -0.021Zm0.3091666666666667 -0.13183333333333336 -0.015166666666666667 0.0023333333333333335 -0.21583333333333335 0.1085 -0.011666666666666667 0.011666666666666667 -0.0035000000000000005 0.012833333333333334 0.021 0.5016666666666667 0.005833333333333334 0.014000000000000002 0.009333333333333334 0.008166666666666668 0.23450000000000004 0.1085c0.014000000000000002 0.004666666666666667 0.026833333333333334 0 0.03383333333333334 -0.009333333333333334l0.004666666666666667 -0.016333333333333335 -0.03966666666666667 -0.7163333333333334c-0.0035000000000000005 -0.014000000000000002 -0.011666666666666667 -0.023333333333333334 -0.023333333333333334 -0.025666666666666667Zm-0.8341666666666667 0.0023333333333333335a0.026833333333333334 0.026833333333334334 0 0 0 -0.0315 0.007000000000000001l-0.007000000000000001 0.016333333333333335 -0.03966666666666667 0.7163333333333334c0 0.014000000000000002 0.008166666666666668 0.023333333333333334 0.019833333333333335 0.028000000000000004l0.0175 -0.0023333333333333335 0.23450000000000004 -0.1085 0.011666666666666667 -0.009333333333333334 0.004666666666666667 -0.012833333333333334 0.019833333333333335 -0.5016666666666667 -0.0035000000000000005 -0.014000000000000002 -0.011666666666666667 -0.011666666666666667 -0.21466666666666667 -0.10733333333333334Z" strokeWidth="1.1667" />
                <path fill="currentColor" d="M14 2.916666666666667A1.75 1.75 0 0 1 15.750000000000002 4.666666666666667v6.302333333333334L21.207666666666668 7.816666666666667a1.75 1.75 0 0 1 1.75 3.031L17.5 14l5.457666666666667 3.151166666666667a1.75 1.75 0 0 1 -1.75 3.031l-5.457666666666667 -3.1500000000000004V23.333333333333336a1.75 1.75 0 0 1 -3.5 0v-6.302333333333334L6.792333333333334 20.183333333333337a1.75 1.75 0 1 1 -1.75 -3.031L10.5 14 5.042333333333334 10.848833333333333a1.75 1.75 0 0 1 1.75 -3.031l5.457666666666667 3.1500000000000004V4.666666666666667A1.75 1.75 0 0 1 14 2.916666666666667Z" strokeWidth="1.1667" />
              </g>
            </svg>
            <p className="cta-callout-title min-w-0 font-semibold text-zinc-800 dark:text-zinc-200">
              {title}
            </p>
          </div> : null}
        <div className={`cta-callout-body text-sm leading-normal text-zinc-800 dark:text-zinc-200${title ? " cta-callout-body--indented" : ""}`}>
          {children}
        </div>
        <a href={href} target={target} rel={linkRel} onClick={handleCtaClick} data-docs-cta={trackingEvent || undefined} className="cta-callout-button inline-flex items-center justify-center gap-1 rounded-full bg-white px-3 py-1.5 text-sm font-semibold transition hover:bg-zinc-100 focus-visible:outline focus-visible:outline-2 focus-visible:outline-offset-2 focus-visible:outline-white/50 dark:bg-white dark:hover:bg-zinc-200">
          {buttonLabel}
          <span className="cta-callout-button-arrow" aria-hidden="true">
            →
          </span>
        </a>
      </div>
    </section>;
};

API keys allow you to enforce access control by granting specific scopes (permissions) to different services or applications, rather than using the master key for all operations.

<Info>
  Available on version 0.10.1 or later. Requires the master key or an API key with `api-keys:write` scope.
</Info>

<Note>
  If you're using the auto-provisioned `Enterprise Core` instance included with your Production License deployment, set the base URL to: `https://ENTERPRISE_PUBLIC_URL/core`.

  If you're connecting to a different Core instance, use the publicly accessible base URL for that instance instead.
</Note>

### Authorization

If set, the API uses an API key for authentication. Include the following header in your requests: `X-blnk-key: <api-key>`.

Replace `<api-key>` with your secret API key. Ensure the key is kept secure and not exposed in public repositories or client-side code.

See also: [Scoped API keys](/api-keys/overview) and [Secure your Blnk server](/advanced/secure-blnk).

### Body

<ParamField body="name" type="string" required>
  The name of the API key or service account. Use descriptive names to identify the purpose of each key.
</ParamField>

<ParamField body="owner" type="string" required>
  Unique identifier of the owner or service associated with the API key, provided by you. This helps track which service or team owns each key. You can use any string value that identifies the owner (e.g., team name, service name, user ID).
</ParamField>

<ParamField body="scopes" type="array" required>
  A list of permissions granted to the API key. Each scope follows the format `resource:action`. See [Understanding Scopes](/advanced/secure-blnk#understanding-scopes) for available resources and actions.

  Examples:

  * `["ledgers:read"]` - Can only view ledgers
  * `["transactions:write", "balances:read"]` - Can create/modify transactions and view balances
  * `["*:*"]` - Full access to all resources and actions
</ParamField>

<ParamField body="expires_at" type="string" required>
  The expiration date and time for the API key in ISO 8601 format (e.g., `"2026-03-11T00:00:00Z"`).
</ParamField>

### Response

<ResponseField name="api_key_id" type="string">
  Unique identifier for the created API key.
</ResponseField>

<ResponseField name="key" type="string">
  The actual API key value. Store this securely as it will not be shown again. Use this value in the `X-Blnk-Key` header for authenticated requests.

  <Warning>
    The `api_key` value is only returned once when the key is created. If you lose it, you'll need to create a new API key. Never commit API keys to version control or expose them in client-side code.
  </Warning>
</ResponseField>

<ResponseField name="name" type="string">
  The name of the API key.
</ResponseField>

<ResponseField name="owner_id" type="string">
  The owner identifier associated with the API key.
</ResponseField>

<ResponseField name="scopes" type="array">
  List of permissions granted to the API key.
</ResponseField>

<ResponseField name="expires_at" type="string">
  The expiration date and time for the API key in ISO 8601 format.
</ResponseField>

<ResponseField name="created_at" type="string">
  ISO 8601 formatted timestamp of when the API key was created.
</ResponseField>

<ResponseField name="last_used_at" type="string">
  ISO 8601 formatted timestamp of when the API key was last used for authentication. Returns `"0001-01-01T00:00:00Z"` if the key has never been used.
</ResponseField>

<ResponseField name="is_revoked" type="boolean">
  Whether the API key has been revoked. Returns `false` for newly created keys.
</ResponseField>

<RequestExample>
  ```json theme={"system"}
  curl -X POST "http://localhost:5001/api-keys" \
    -H "X-blnk-key: <api-key>" \
    -H "Content-Type: application/json" \
    -d '{
      "name": "Service Account",
      "owner": "owner_id",
      "scopes": ["ledgers:read", "balances:write"],
      "expires_at": "2026-03-11T00:00:00Z"
    }'
  ```
</RequestExample>

<ResponseExample>
  ```json 201 theme={"system"}
  {
    "api_key_id": "api_key_879f0ecb-e29f-4137-801b-1048366381db",
    "key": "YVLIhuIplUzLRCcT9r7DQ_jsGKCXAn39JQ3n_o-Ll2Q=",
    "name": "Service Account",
    "owner_id": "owner_id",
    "scopes": ["ledgers:read", "balances:write"],
    "expires_at": "2026-03-11T00:00:00Z",
    "created_at": "2025-11-18T13:39:50.390457762Z",
    "last_used_at": "0001-01-01T00:00:00Z",
    "is_revoked": false
  }
  ```

  ```json 400 theme={"system"}
  {
    "error": "owner is required",
    "error_detail": {
      "code": "APIKEY_OWNER_REQUIRED",
      "message": "owner is required"
    }
  }
  ```

  ```json 403 theme={"system"}
  {
    "error": "cannot grant scopes broader than caller",
    "error_detail": {
      "code": "AUTH_SCOPE_ESCALATION",
      "message": "cannot grant scopes broader than caller"
    }
  }
  ```
</ResponseExample>

## Need help?

We are very happy to help you make the most of Blnk, regardless of whether it is your first time or you are switching from another tool.

To ask questions or discuss issues, please [contact us](mailto:support@blnkfinance.com) or [join our Discord community](https://discord.gg/7WNv94zPpx).

<CtaCallout title="Connect your ledger to Blnk Cloud" href="https://cloud.blnkfinance.com/auth/sign-up?utm_source=blnk_docs&utm_medium=documentation&utm_campaign=need-help" buttonLabel="Open Blnk Cloud" trackingEvent="clicked_cloud_signup">
  Sign up and manage your ledger with our back-office dashboard. You can invite teammates to collaborate and manage your ledger operations directly from the dashboard.
</CtaCallout>
