IP allowlist
A INFI pode restringir as origens permitidas para uma API key. Quando ativada, requisições vindas de IPs fora da lista recebem:
HTTP/1.1 403
{ "error": "IP de origem não autorizado para esta chave." }Configuração
A IP allowlist é configurada pela equipe da INFI mediante solicitação. Hoje, não há autoatendimento no painel para adicionar/remover IPs.
[VERIFICAR COM EQUIPE INFI]: confirmar se haverá UI no painel para o lojista gerenciar a allowlist sozinho.
A lista aceita:
- IPv4 literal (ex.:
203.0.113.42) - CIDR IPv4 (ex.:
203.0.113.0/24) - IPv6 literal
Hoje, ranges CIDR IPv6 não são suportados.
Detecção do IP de origem
A INFI usa o último valor de X-Forwarded-For (preenchido pelo Google Frontend) como IP do cliente. Endereços ::ffff: (IPv4 mapeado em IPv6) são normalizados para IPv4.
Se sua infra está atrás de NAT com IP que muda (residencial, alguns provedores cloud sem IP fixo), prefira não usar allowlist para essa API key. Use uma chave separada com allowlist apenas em ambientes onde o IP é estável.
Por que combinar com rotação de chave
A allowlist sozinha não substitui rotação. Em caso de exposição da chave, o atacante pode ser de dentro da sua rede (IP permitido). Mantenha rotação periódica como segunda camada.