Segurança
Segurança
Entenda os tipos de endpoint, proteja suas credenciais e controle o acesso por escopos.
Tipos de endpoint
A API da Elix trabalha com endpoints públicos e privados. A diferença define como a requisição comprova sua origem e quais dados podem ser acessados.
Endpoints públicos
Endpoints públicos começam com /public na rota. Eles não exigem autenticação Basic, mas isso não significa que sejam abertos. Muitos aplicam outras camadas de validação, como código 2FA, token temporário ou validação de origem.
A regra varia de endpoint para endpoint. Consulte sempre a referência específica da rota que está utilizando.
Endpoints privados
Endpoints privados exigem autenticação Basic montada a partir da API Key e Secret Key geradas na plataforma. Toda requisição precisa carregar essa credencial no header Authorization.
Proteja sua Secret Key
Nunca exponha a Secret Key em código client-side, repositórios públicos, ferramentas de analytics ou logs. Ela deve existir apenas no backend da sua aplicação.
Escopos
Cada par de API Key e Secret Key só funciona nas operações liberadas para a credencial. Uma chave restrita a cobranças, por exemplo, será rejeitada ao tentar executar uma operação financeira externa.
Cobrança Pix
Liberado por padrão nas contas elegíveis.
Cobrança no cartão
Sujeito à análise da equipe Elix.
Saques e transferências
Sujeito à análise da equipe Elix.
Para solicitar funções adicionais, entre em contato com a equipe Elix. Uma requisição feita fora do escopo retorna 403 Forbidden.
Boas práticas
- Aplique o princípio do menor privilégio a cada credencial.
- Rotacione e revogue chaves quando houver suspeita de exposição.
- Use HTTPS em todas as chamadas e callbacks.
- Filtre headers sensíveis antes de registrar erros.
- Restrinja o acesso às variáveis de ambiente no provedor de hospedagem.