Navegação dos guias

Segurança

Segurança

Entenda os tipos de endpoint, proteja suas credenciais e controle o acesso por escopos.

Tipos de endpoint

A API da Elix trabalha com endpoints públicos e privados. A diferença define como a requisição comprova sua origem e quais dados podem ser acessados.

Endpoints públicos

Endpoints públicos começam com /public na rota. Eles não exigem autenticação Basic, mas isso não significa que sejam abertos. Muitos aplicam outras camadas de validação, como código 2FA, token temporário ou validação de origem.

A regra varia de endpoint para endpoint. Consulte sempre a referência específica da rota que está utilizando.

Endpoints privados

Endpoints privados exigem autenticação Basic montada a partir da API Key e Secret Key geradas na plataforma. Toda requisição precisa carregar essa credencial no header Authorization.

Proteja sua Secret Key

Nunca exponha a Secret Key em código client-side, repositórios públicos, ferramentas de analytics ou logs. Ela deve existir apenas no backend da sua aplicação.

Escopos

Cada par de API Key e Secret Key só funciona nas operações liberadas para a credencial. Uma chave restrita a cobranças, por exemplo, será rejeitada ao tentar executar uma operação financeira externa.

Cobrança Pix

Liberado por padrão nas contas elegíveis.

Cobrança no cartão

Sujeito à análise da equipe Elix.

Saques e transferências

Sujeito à análise da equipe Elix.

Para solicitar funções adicionais, entre em contato com a equipe Elix. Uma requisição feita fora do escopo retorna 403 Forbidden.

Boas práticas

  • Aplique o princípio do menor privilégio a cada credencial.
  • Rotacione e revogue chaves quando houver suspeita de exposição.
  • Use HTTPS em todas as chamadas e callbacks.
  • Filtre headers sensíveis antes de registrar erros.
  • Restrinja o acesso às variáveis de ambiente no provedor de hospedagem.