Skip to main content

Autenticação

Todas as requisições à API pública do NextPay Gateway requerem autenticação via API Keys.

API Keys

As API Keys são compostas por dois componentes:
  1. Chave Pública (Public Key): Identifica sua conta
  2. Chave Privada (Private Key): Autentica suas requisições

Obtendo suas API Keys

1

Acesse o Dashboard

Acesse o Dashboard NextPay Gateway e faça login na sua conta.
2

Navegue até API Keys

No menu lateral, navegue até IntegraçõesCredenciais de API.
3

Gere um novo par de chaves

Clique em Gerar Nova Chave e confirme a ação.
4

Guarde suas chaves com segurança

Importante: Guarde a chave privada com segurança, ela não será exibida novamente após a geração.
Recomendamos salvar as chaves em um gerenciador de senhas ou variáveis de ambiente seguras.

Como Usar

Inclua as chaves de API nos cabeçalhos de todas as requisições:
X-Api-Public-Key
string
required
Sua chave pública da API (formato: nxpay_...)
X-Api-Private-Key
string
required
Sua chave privada da API (formato: nxpay_...)

Exemplos de Requisição

curl -X GET https://api.nextpagamentos.io/api/transactions/123 \
  -H "X-Api-Public-Key: nxpay_63cd5cf695f26414f92eb9a500059460" \
  -H "X-Api-Private-Key: nxpay_399c0e9cd8bdae9b586bc814dc88b8df36b50b537630c9d17b5a96e1e45e7f99"

Segurança

Importante: Nunca exponha suas chaves de API em código frontend ou repositórios públicos. Sempre use variáveis de ambiente ou serviços de gerenciamento de segredos.

Boas Práticas

  • ✅ Armazene as chaves em variáveis de ambiente
  • ✅ Use serviços de gerenciamento de segredos (AWS Secrets Manager, HashiCorp Vault, etc.)
  • ✅ Rotacione suas chaves regularmente
  • ✅ Revogue chaves comprometidas imediatamente
  • ❌ Nunca commite chaves em repositórios Git
  • ❌ Nunca exponha chaves em código frontend

Erros de Autenticação

401 Unauthorized

Retornado quando as chaves de API são inválidas ou ausentes: 
{
  "success": false,
  "error": {
    "code": "UNAUTHORIZED",
    "message": "Chaves de API inválidas ou ausentes"
  }
}

403 Forbidden

Retornado quando a operação não é permitida para sua conta: 
{
  "success": false,
  "error": {
    "code": "FORBIDDEN",
    "message": "Operação não permitida para esta conta"
  }
}