Autenticação

Toda requisição /v1 exige três headers de autenticação. Sem eles, retorna 401.

Authorization: Bearer dfk_live_abc123...
X-DF-Secret: sk_...
X-DF-Passphrase: minha-passphrase

Secret e Passphrase nunca devem aparecer em frontend ou logs. Trate como senha. Em caso de vazamento, revogue a chave imediatamente.

Cada chave tem scopes que limitam quais endpoints pode acessar. Não conceda scopes além do necessário (princípio do menor privilégio). Consulte /docs/escopos.

Configure uma lista de IPs autorizados por chave no painel. Requisições de IPs fora da lista recebem 403 IP_NOT_ALLOWED.

Chaves podem ser expiradas (data limite), revogadas (manualmente) ou congeladas (anti-fraude). Cada caso retorna um código 403 específico.

dfk_live_ chama produção; dfk_test_ chama sandbox isolado. Use sandbox para integração e testes.