Autenticação
Contrato de Bearer token, formatos de chave e como o ambiente da chave precisa casar com o ambiente da chamada. Leia uma vez; consulte depois.
A BlendFi usa autenticação Bearer-token simples. Todo request em /v1/* envia sua API key no header Authorization. Não há login, sessão ou refresh de token, a chave é a sessão.
O contrato
GET /v1/users HTTP/1.1
Host: api.sandbox.blendfi.com.br
Authorization: Bearer sk_test_xxxTrês regras:
- Prefixo
Bearerobrigatório. ApenasAuthorization: sk_test_…retorna401 authentication_required. Atenção ao espaço. - Chave enviada em todo request. Sem padrão troca-por-cookie-de-sessão. A chave é texto plano em todo trajeto, por isso o TLS é obrigatório.
- Apenas HTTPS. HTTP puro é rejeitado na borda.
Formatos de chave
| Prefixo | Ambiente | Emitida em |
|---|---|---|
sk_test_… | Sandbox | Reunião de onboarding |
sk_live_… | Produção | Reunião de liberação de produção |
Uso entre ambientes é rejeitado:
sk_test_…contra a URL base de produção →401 api_key_env_mismatchsk_live_…contra a URL base de sandbox →401 api_key_env_mismatch
Isso é intencional: evita movimentar dinheiro real por acidente durante testes e evita que chamadas de teste poluam produção.
Rotação de chave
Integrações em nível de produção rotacionam chaves em uma cadência (a cada 90 dias é o ritmo comum) ou em resposta a um comprometimento.
A rotação é por autoatendimento via API. Uma única chamada, POST /v1/api-keys/{id}/rotate, emite uma chave nova com as mesmas capabilities e o mesmo nome, retorna o novo segredo exatamente uma vez e revoga a chave antiga imediatamente. O fluxo recomendado:
GET /v1/api-keyspara encontrar oidda chave que você quer rotacionar.POST /v1/api-keys/{id}/rotate; capture o novo segredo na resposta (ele é mostrado uma única vez e não pode ser recuperado depois).- Implante o novo segredo na sua aplicação (deploy ou hot-reload do segredo).
A rotação é uma transição imediata: a chave antiga para de autenticar no instante em que você rotaciona, então requisições que ainda a usam retornam authentication_failed. Tenha o novo segredo pronto para implantar na mesma mudança, para que não haja lacuna.
Erros
| Código | Status | Causa |
|---|---|---|
authentication_required | 401 | Header Authorization ausente ou em formato errado |
authentication_failed | 401 | Chave desconhecida, revogada, expirada ou organização suspensa |
api_key_env_mismatch | 401 | Chave de sandbox contra produção, ou vice-versa |
invalid_api_key_format | 401 | A string da chave está mal formada |
missing_capability | 403 | Chave válida, mas sem a capability do endpoint |
Descrições completas no catálogo de erros.
Leia em seguida
- Sandbox e chaves, ambientes e o fluxo de pedido de chave
- Conceitos → Erros e retentativas, formato da resposta de erro
- Início rápido, faça sua primeira chamada
