Lista IP permitida

INFI puede restringir los orígenes permitidos para una API key. Cuando está activa, las solicitudes desde IPs fuera de la lista reciben:

HTTP/1.1 403
{ "error": "IP de origem não autorizado para esta chave." }

Configuración

La lista de IPs permitidos se configura por el equipo de INFI a solicitud. Hoy no hay autoservicio en el panel para añadir o quitar IPs.

[POR CONFIRMAR CON EL EQUIPO INFI]: si habrá UI en el panel para que el comerciante gestione la lista por sí mismo.

La lista acepta:

IPv4 literal (p.ej. 203.0.113.42)
CIDR IPv4 (p.ej. 203.0.113.0/24)
IPv6 literal

Hoy no se soportan rangos CIDR IPv6.

Detección del IP de origen

INFI usa el último valor de X-Forwarded-For (puesto por Google Frontend) como IP del cliente. Las direcciones ::ffff: (IPv4 mapeado en IPv6) se normalizan a IPv4.

NAT dinámica

Si tu infraestructura está detrás de NAT con IP cambiante (residencial, algunos proveedores cloud sin IP fijo), evita usar la lista de IPs permitidos para esa API key. Usa una clave separada con lista solo en entornos donde el IP es estable.

Por qué combinarla con rotación de clave

La lista por sí sola no reemplaza la rotación. En caso de exposición de la clave, el atacante puede estar dentro de tu red (IP permitido). Mantén la rotación periódica como segunda capa.

Claves PIX aceptadas Rate limits