x-api-key.
Formato de la clave
Las claves siguen el patrónz2_{escopo}_{tipo}_{aleatorio} (256 bits de entropía):
| Parte | Valores | Significado |
|---|---|---|
| Escopo | psp, chk, stl, af | Producto (PSP, Checkout, Settle, Antifraude). |
| Tipo | sk (secret), pk (publishable) | Nivel de acceso. |
Secret (sk) × Publishable (pk)
Secret key (sk)
Acceso completo (crear, leer, actualizar, reembolsar). Solo en el backend.
Publishable key (pk)
Acceso restringido a operaciones públicas (ej.: tokenización en el frontend). Puede ser expuesta
en el navegador.
Cómo obtener su clave
- Acceda al Dashboard de Z2Pay.
- Para claves de prueba, ingrese al entorno de sandbox y genere las credenciales allí.
- Para claves de producción, genérelas en el entorno de producción.
- Copie la clave en el momento de su creación — por seguridad, se muestra una sola vez (luego
queda enmascarada, ej.:
z2_psp_sk_KxY8…3pQ1).
Las claves de sandbox y de producción tienen el mismo formato, pero se generan en entornos
distintos y no son intercambiables. Una clave de sandbox solo funciona en
*.sandbox.z2pay.com.Respuestas de autenticación
| Situación | Status | Respuesta |
|---|---|---|
Header x-api-key ausente o inválido | 401 | { "error": { "code": "UNAUTHORIZED", ... } } |
| Clave válida, pero sin permiso para la operación | 403 | { "error": { "code": "FORBIDDEN", ... } } |
Buenas prácticas
Use variables de entorno
Cargue la clave desde una variable de entorno o secret manager, nunca escrita directamente en el
código.
Rote si hay una filtración
¿Sospecha de una filtración? Genere una nueva clave y revoque la anterior desde el Dashboard.
Una clave por entorno
Separe claramente las claves de sandbox y de producción en su aplicación.
Restrinja en el frontend
En el navegador o app utilice únicamente la
pk. La sk nunca debe salir del servidor.