A API da iuzypay é autenticada por API keys. Cada chave pertence a uma organização: toda chamada feita com ela lê e escreve apenas os dados daquela organização.
As chaves têm o prefixo iuzy_sk_ e são enviadas no header Authorization:
curl https://api.iuzypay.com/v1/me \
-H "Authorization: Bearer iuzy_sk_..."
Criar e revogar chaves
As chaves são gerenciadas no dashboard, em Configurações → API keys (requer a permissão api_keys:write):
- Criar — a chave completa aparece uma única vez, na criação. A iuzypay guarda apenas um hash SHA-256; não há como recuperar o valor depois.
- Revogar — uma chave revogada é rejeitada imediatamente. Se suspeitar de vazamento, revogue e crie outra na hora; você pode manter mais de uma chave ativa para fazer a troca sem downtime.
Erros de autenticação
Sem uma chave válida, a API responde 401 com o envelope de erro padrão:
{
"error": {
"code": "unauthorized",
"message": "invalid or revoked API key"
}
}
| Situação | Mensagem |
|---|
Header ausente ou chave fora do formato iuzy_sk_... | missing or malformed API key |
| Chave inexistente ou revogada | invalid or revoked API key |
Boas práticas
A API key dá acesso total à API em nome da sua organização. Use-a somente no servidor — nunca em código que roda no navegador ou em apps distribuídos.
- Guarde a chave em variável de ambiente ou gerenciador de segredos, nunca no repositório.
- Crie uma chave por sistema (ex.:
erp, automacao-email) — revogar uma não derruba as outras e o nome identifica a origem.
- Rotacione periodicamente: crie a chave nova, troque no sistema e revogue a antiga.