PortuguêsComeçandoAutenticação

Autenticação

Toda requisição à API INFI exige autenticação por Bearer token.

Cabeçalho

Authorization: Bearer <SUA_API_KEY>

Requisições sem esse cabeçalho recebem 401:

{ "error": "API key obrigatória. Use: Authorization: Bearer <key>" }

Chave inválida ou revogada:

{ "error": "API key inválida ou revogada." }

Formato da API key

Toda API key tem o formato:

infi_<64 caracteres hexadecimais>

Total: 69 caracteres. Os primeiros 16 caracteres (infi_ + 11 hex) formam o prefixo público, exibido no painel para você identificar qual chave é qual sem expor o segredo.

Geração e revogação

API keys são geradas pelo painel da INFI, em Dispositivos / API keys. A geração exige:

  • Conta com KYC aprovado.
  • E-mail do responsável verificado.

O segredo completo é exibido uma única vez no momento da criação. Se perder, gere uma nova chave e revogue a antiga.

Não compartilhe a chave

A API key vale como senha. Não comite no Git, não envie em mensagens, não publique em frontends. Em caso de exposição, revogue imediatamente no painel.

A revogação tem efeito em segundos. Após revogada, requisições com aquela chave passam a retornar 401.

Pré-condições da conta

A cada chamada, a INFI valida:

  • KYC aprovado. Caso contrário: 403 "Conta não está aprovada para uso da API."
  • Conta não bloqueada. Caso contrário: 403 "Conta suspensa. Contate o suporte."

Essas verificações usam cache de até 30s — mudanças no painel refletem em segundos, não em minutos.

Idempotência

Em POST /v1/pix, envie um externalRef no corpo para garantir que reenvios não criem cobranças duplicadas. Veja Idempotência.

IP allowlist

Sua conta pode ter IP allowlist ativada (configurada pela equipe da INFI). Quando ativa, IPs fora da lista recebem:

{ "error": "IP de origem não autorizado para esta chave." }

Veja IP allowlist.

Relação com 2FA do painel

A autenticação em duas etapas (TOTP) disponível no painel do lojista não se aplica à API REST. As proteções da API são:

  • API key (Bearer token).
  • IP allowlist (opcional).
  • Rate limit por chave.

Você pode ter 2FA ativada no painel sem alterar o comportamento das suas integrações via API. Saques iniciados pelo painel passam a exigir código TOTP; saques iniciados via POST /v1/withdraw continuam exigindo apenas a API key.

AmbientesCiclo de uma cobrança