O que é uma API Key?
Uma API Key é a credencial que identifica e autoriza as chamadas à API da Notifique. Toda requisição à API v1 precisa enviar uma API Key válida (por exemplo no headerAuthorization: Bearer sk_live_xxxxx ou x-api-key). Sem ela, a API responde 401 Unauthorized.
Cada API Key pertence a um workspace. Ela é criada e gerenciada no dashboard desse workspace — não existe endpoint público para criar ou revogar chaves. No momento da criação você define um nome, opcionalmente escopos (permissões) e, se desejar, restrições por recurso: instâncias WhatsApp (instanceIds), domínios de e-mail (domainIds) e apps de push (pushAppIds). Quando essas listas estão vazias, a chave pode acessar todos os recursos do workspace; quando preenchidas, apenas os itens listados.
Para que serve?
- Autenticação — A API usa a API Key para saber em qual workspace a requisição deve ser executada e se o chamador está autorizado. A chave substitui login/senha nas integrações server-to-server.
- Controle de acesso — Com escopos você limita o que cada chave pode fazer: uma key só para enviar mensagens (
whatsapp:send,sms:send), outra só para ler logs (logs:read), outra para gerenciar webhooks (webhooks:manage). Assim você reduz o risco de vazamento e segue o princípio do menor privilégio. - Segurança — Guarde a chave em variáveis de ambiente ou gerenciador de segredos; nunca em código versionado. Se uma chave for exposta, revogue-a no dashboard e crie uma nova. A chave completa é exibida apenas uma vez na criação.
- Múltiplas integrações — Você pode ter várias API Keys no mesmo workspace (por exemplo, uma por servidor ou por cliente) e revogar uma sem afetar as outras.