Autenticação
Como autenticar suas requisições à API CoreCaaS.
API Key
Cada requisição deve incluir sua API Key no header Authorization. As chaves são geradas no painel administrativo e vinculadas ao seu tenant.
GET /v1/health HTTP/1.1
Host: sandbox.api.corecaas.com
Authorization: Bearer ck_sandbox_abc123def456...
Content-Type: application/json
X-Tenant-Id: tenant_demo_001
X-Request-Id: req_unique_uuidHeaders obrigatórios
| Header | Tipo | Descrição |
|---|---|---|
| Authorization | Bearer token | Sua API Key |
| Content-Type | string | application/json |
| X-Tenant-Id | string | Identificador do tenant |
| X-Request-Id | UUID | Idempotência (opcional) |
OAuth2 (client_credentials)
Para integrações server-to-server, também suportamos OAuth2 com grant type client_credentials.
POST /v1/auth/token HTTP/1.1
Host: sandbox.api.corecaas.com
Content-Type: application/x-www-form-urlencoded
grant_type=client_credentials
&client_id=YOUR_CLIENT_ID
&client_secret=YOUR_CLIENT_SECRET
&scope=read writeResposta:
{
"access_token": "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9...",
"token_type": "Bearer",
"expires_in": 3600,
"scope": "read write"
}Expiração de Tokens
API Keys: Não expiram, mas podem ser revogadas a qualquer momento.
OAuth2 Tokens: Expiram em 1 hora (3600s). Use o refresh token para renovar.
Refresh Tokens: Válidos por 30 dias. Após expirar, autentique novamente.
Boas Práticas
- ✓ Nunca exponha API Keys no frontend ou repositórios públicos
- ✓ Use variáveis de ambiente para armazenar credenciais
- ✓ Rotacione API Keys regularmente
- ✓ Use permissões mínimas necessárias ao criar chaves
- ✓ Monitore o uso no painel para detectar anomalias
- ✓ Implemente retry com exponential backoff para 429
Rate Limiting
Sandbox: 100 req/min · Produção: 1.000 req/min. Headers de resposta incluem X-RateLimit-Remaining e X-RateLimit-Reset.