Documentação técnica
API Keys
A API pública usa o par X-API-Key e X-API-Secret em todas as chamadas autenticadas.
Credenciais para API pública
Sua integração deve enviar API Key e API Secret em headers. O provisionamento dessas credenciais acontece no painel da conta, sem exposição de contratos internos na documentação pública.
Armazenamento seguro do secret
Não compartilhe o secret com clientes finais, não serialize em logs e não exponha em aplicações front-end públicas.
Rotação operacional
- Planeje rotação periódica de credenciais.
- Atualize credenciais por ambiente (desenvolvimento e produção).
- Remova credenciais antigas do ambiente após o cutover.
- Monitore falhas 401/403 após mudanças de credenciais.
Exemplo de headers
| Header | Obrigatório | Descrição | Exemplo |
|---|---|---|---|
| X-API-Key | Sim | Identificador público da credencial da integração. | pk_live_xxxxxxxxx |
| X-API-Secret | Sim | Segredo da credencial para validar cada chamada. | sk_live_xxxxxxxxx |