x-api-key.
Formato da chave
As chaves seguem o padrãoz2_{escopo}_{tipo}_{aleatório} (256 bits de entropia):
| Parte | Valores | Significado |
|---|---|---|
| Escopo | psp, chk, stl, af | Produto (PSP, Checkout, Settle, Antifraude). |
| Tipo | sk (secret), pk (publishable) | Nível de acesso. |
Secret (sk) × Publishable (pk)
Secret key (sk)
Acesso completo (criar, ler, atualizar, estornar). Somente no backend.
Publishable key (pk)
Acesso restrito a operações públicas (ex.: tokenização no frontend). Pode ser exposta no
navegador.
Como obter sua chave
- Acesse o Dashboard do Z2Pay.
- Para chaves de teste, entre no ambiente de sandbox e gere as credenciais lá.
- Para chaves de produção, gere no ambiente de produção.
- Copie a chave no momento da criação — por segurança, ela é exibida apenas uma vez (depois fica
mascarada, ex.:
z2_psp_sk_KxY8…3pQ1).
Chaves de sandbox e de produção têm o mesmo formato, mas são geradas em ambientes
diferentes e não são intercambiáveis. Uma chave de sandbox só funciona em
*.sandbox.z2pay.com.Respostas de autenticação
| Situação | Status | Resposta |
|---|---|---|
Header x-api-key ausente ou inválido | 401 | { "error": { "code": "UNAUTHORIZED", ... } } |
| Chave válida, mas sem permissão para a operação | 403 | { "error": { "code": "FORBIDDEN", ... } } |
Boas práticas
Use variáveis de ambiente
Carregue a chave de uma variável de ambiente/secret manager, nunca hardcoded no código.
Rotacione se vazar
Suspeitou de vazamento? Gere uma nova chave e revogue a antiga no Dashboard.
Uma chave por ambiente
Separe claramente as chaves de sandbox e de produção na sua aplicação.
Restrinja no frontend
No navegador/app use apenas a
pk. A sk jamais sai do servidor.