Chaves de API
As chaves de API autenticam pedidos para a API de gestão do ConsentForge. São diferentes dos tokens de incorporação — mantenha-as secretas e utilize-as apenas a partir do seu backend.
Criar uma chave de API
Conta → Chaves de API → Criar Chave
- Introduza um nome descritivo (por exemplo, "Sincronização backend — produção")
- Seleccione os âmbitos de que a sua integração necessita (mínimo necessário)
- Defina uma data de expiração (opcional mas recomendado)
- Clique em Criar
Copie a chave imediatamente — é apresentada apenas uma vez.
Âmbitos disponíveis
| Âmbito | Acesso |
|---|---|
properties:read | Listar e ver propriedades |
properties:write | Criar e actualizar propriedades |
policies:read | Ver políticas e versões |
policies:write | Criar, publicar, reverter políticas |
receipts:read | Ver recibos de consentimento |
receipts:export | Exportar recibos (conjuntos de resultados grandes) |
webhooks:read | Ver configuração de webhooks |
webhooks:write | Criar e actualizar webhooks |
users:read | Listar utilizadores da conta |
users:write | Convidar e remover utilizadores |
scan:trigger | Desencadear análises via API |
admin | Acesso total — utilize com parcimónia |
Expiração de chaves
Defina uma data de expiração para limitar o impacto se uma chave for comprometida. As chaves expiradas deixam de funcionar automaticamente.
Rode as chaves regularmente. Para rodar: crie uma nova chave → actualize a sua integração → elimine a chave antiga.
Revogar uma chave
Conta → Chaves de API → [Nome da chave] → Revogar
A revogação é imediata. Qualquer integração que utilize a chave começará a receber respostas 401 Unauthorized.
Boas práticas de segurança de chaves
- Armazene as chaves em variáveis de ambiente ou num gestor de segredos, nunca no código fonte
- Utilize uma chave por integração (mais fácil revogar uma única chave comprometida)
- Utilize o âmbito mais restrito que funcione para o seu caso de uso
- Defina uma data de expiração para chaves utilizadas em pipelines CI/CD