A mesma API REST sobre a qual o cliente web roda. Cada item é criptografado no seu navegador antes de sair do dispositivo — o servidor só vê texto cifrado e não tem como lê-lo. Use-a para criar seus próprios clientes ou para dar a uma integração acesso restrito e confirmável a alguns itens. Base URL: https://storage-p.com
/openapi.yaml Passo a passo completo do que o storage-p realmente faz — baseado no conjunto real de recursos, nada inventado.
Rode o storage-p como um contêiner Docker atrás do Caddy no seu domínio. O Caddy serve o cliente estático e faz proxy reverso de /api para o backend; o banco de dados SQLite é criptografado em repouso com SQLCipher. Você o opera de ponta a ponta — ninguém mais tem as chaves.
Gere chaves SSH Ed25519 (formato OpenSSH) e certificados TLS autoassinados na aba Geradores, ou faça upload de arquivos de chave/certificado existentes (até 1 MB). O material privado é criptografado no navegador antes do upload, então ele nunca existe em texto puro no servidor.
Compartilhe um único item ou uma pasta inteira por um link cuja chave de descriptografia vive apenas no fragmento da URL (#…) — a parte que os navegadores nunca enviam ao servidor. Defina um TTL e um limite de visualizações; após a última visualização, os dados não podem mais ser abertos.
Crie um token que pode ler apenas os itens ou projetos da sua lista de permissões. Ative a confirmação por leitura e cada acesso fica em espera até você aprovar pelo sino no app ou por uma mensagem do Telegram; adicione um limite de taxa e um prazo de expiração. A integração recebe o item ainda criptografado mais uma chave de acesso de uso único para descriptografá-lo localmente.
Transforme uma pasta em um projeto com a sua própria chave. Conceda a outro usuário acesso de leitura ou escrita e a chave do projeto é selada para a chave pública dele (X25519), de modo que ele trabalha com os itens mais recentes sem que o servidor jamais veja uma cópia legível. Revogue qualquer concessão a qualquer momento.
Guarde o segredo TOTP de um login ao lado dele e leia o código rotativo em tempo real no mesmo lugar — o storage-p também funciona como seu autenticador. Você também pode proteger sua própria conta com TOTP de duplo fator.
Traga um JSON do Bitwarden, um CSV do KeePass ou qualquer CSV com as colunas name/username/password/url/notes. A análise e a criptografia rodam no seu dispositivo, então as entradas são recriptografadas com a sua chave e nunca enviadas em texto claro.
Obtenha um token de acesso via register/login e o envie como token Bearer. Os tokens de acesso têm vida curta (15 min); renove com o refresh token.
Cadastre-se, entre e mantenha a sessão ativa. A senha mestra nunca sai do navegador — apenas um auth-hash Argon2id é enviado.
/api/v1/auth/register { email, master_password, kdf_salt_b64, kdf_memory_kib, kdf_iters, kdf_parallelism, pubkey_b64, privkey_enc_b64 }{ access_token, refresh_token, user_id, kdf_* }/api/v1/auth/login { email, master_password, totp_code? }{ access_token, refresh_token, user_id, kdf_*, totp_required }/api/v1/auth/refresh { refresh_token }{ access_token, refresh_token }/api/v1/auth/logout Bearer{ ok }/api/v1/auth/totp/setup Bearer{ secret_b32, current_code }{ ok }CRUD sobre os seus itens. Tudo entra e sai já criptografado; o servidor armazena e devolve somente texto cifrado.
/api/v1/vault Bearer[ { id, meta_enc_b64, body_enc_b64, version, created_at, updated_at } ]/api/v1/vault Bearer{ meta_enc_b64, body_enc_b64, blind_index_b64? }{ id, ... }/api/v1/vault/:id Bearer/api/v1/vault/:id Bearer{ meta_enc_b64?, body_enc_b64?, expected_version }/api/v1/vault/:id Bearer/api/v1/vault/trash Bearer/api/v1/vault/:id/restore Bearer/api/v1/vault/:id/purge BearerDuas formas de entregar um segredo a outra pessoa: um link de uso único que se autodestrói após a leitura, ou uma entrega ponta a ponta sealed-box a outro usuário.
/api/v1/share Bearer{ payload_b64, nonce_b64, ttl_secs, max_views }{ id, expires_at }/api/v1/share/:id { payload_b64, nonce_b64 }/api/v1/users/lookup?email= Bearer{ user_id, pubkey_b64 }/api/v1/shares/user Bearer{ to_email, payload_b64 }/api/v1/shares/incoming Bearer/api/v1/shares/:id BearerTokens restritos permitem que uma integração leia itens selecionados, opcionalmente protegidos pela sua confirmação no app/Telegram.
/api/v1/tokens Bearer/api/v1/tokens Bearer{ name, item_ids[], require_confirmation, rate_limit_per_hour, ttl_secs }{ id, token, expires_at }/api/v1/tokens/:id Bearer/api/v1/confirmations/pending Bearer/api/v1/confirmations/:id/resolve Bearer{ decision: "approve"|"deny" }/api/v1/api/vault/:id Bearer (scoped token)Crie um token restrito na interface (Tokens de API). Ele só pode ler itens da lista de permissões, e as leituras podem exigir confirmação. Fluxo: o primeiro GET retorna um confirmation_id com status pending_confirmation; o dono aprova no app ou pelo Telegram; repita o GET com ?confirmation_id= para receber o item (ainda criptografado no cliente).
meta_enc / body_enc são nonce(24)‖ciphertext, criptografados com a chave do cofre derivada da senha mestra. O servidor não consegue descriptografá-los.