Chaves API
As chaves API autenticam pedidos à API de gestão do ConsentForge. São diferentes dos tokens de integração — mantenha-as em segredo e use-as apenas a partir do seu backend.
Criar uma chave API
Conta → Chaves API → Criar chave
- Introduza um nome descritivo (ex. "Sincronização backend — produção")
- Selecione os âmbitos necessários para a sua integração (o mínimo necessário)
- Defina uma data de expiração (opcional mas recomendado)
- Clique em Criar
Copie a chave imediatamente — é mostrada apenas uma vez.
Âmbitos disponíveis
| Âmbito | Acesso |
|---|---|
properties:read | Listar e ver propriedades |
properties:write | Criar e atualizar propriedades |
policies:read | Ver políticas e versões |
policies:write | Criar, publicar, reverter políticas |
receipts:read | Ver recibos de consentimento |
receipts:export | Exportar recibos (conjuntos de resultados grandes) |
webhooks:read | Ver configuração de webhooks |
webhooks:write | Criar e atualizar webhooks |
users:read | Listar utilizadores da conta |
users:write | Convidar e remover utilizadores |
scan:trigger | Acionar análises via API |
admin | Acesso total — usar com moderação |
Expiração da chave
Defina uma data de expiração para limitar o impacto se uma chave for comprometida. As chaves expiradas param de funcionar automaticamente.
Rode as chaves regularmente. Para rodar: crie uma nova chave → atualize a sua integração → elimine a chave antiga.
Revogar uma chave
Conta → Chaves API → [Nome da chave] → Revogar
A revogação é imediata. Qualquer integração que use a chave começará a receber respostas 401 Unauthorized.
Boas práticas de segurança para chaves
- Guarde as chaves em variáveis de ambiente ou num gestor de segredos, nunca no código-fonte
- Use uma chave por integração (mais fácil revogar uma única chave comprometida)
- Use o âmbito mais restrito que funciona para o seu caso de uso
- Defina uma data de expiração para chaves usadas em pipelines CI/CD