Como Obter Client ID e API Key

Para autenticar suas requisições server-to-server na DFPay, você precisa do par Client ID (público) + API Key (secreta da sua empresa).

Acesse o painel da empresa

Entre em: https://dfpay.app/login-company

Faça login com o usuário da sua empresa.

Abra "Credenciais de API"

No menu lateral, acesse Configurações → Credenciais de API.

Gerar uma API Key

Primeira vez ou rotação de chaves:

Clique em "Nova Credencial" (ou "Regenerar Chaves" se já existir).
A Secret Key será exibida completa apenas uma vez.
Copie e guarde com segurança (cofre/variável de ambiente).
O Client ID aparece como "API Key" (pública) na tela — ele é fixo do aplicativo.

Copiar valores

Client ID (X-Client-Id)

Copie do campo "API Key" (ID público do app).

Secret Key (X-API-Key)

Copie do campo "Secret Key" (chave secreta da sua empresa).

Regras Importantes

•A Secret Key não será exibida novamente. Se perder, gere outra (rotação).
•Revogar desativa a chave atual imediatamente.
•(Opcional) Configure lista branca de IPs e limite/hora conforme sua política.

Onde Usar

Inclua ambos os cabeçalhos em todas as requisições à API:

•X-Client-Id: seu Client ID (público, fixo do app)
•X-API-Key: sua Secret Key (secreta da sua empresa)

Exemplo:

curl -X POST https://www.dfpay.app/<sua-rota> \
  -H "Content-Type: application/json" \
  -H "X-Client-Id: e1c98954cc404cbcb2868af9b40c7a33" \
  -H "X-API-Key: c2f1839a...e15d" \
  -d '{ "...": "payload" }'

Boas Práticas

✓Nunca exponha a X-API-Key em frontend, repositórios ou logs.
✓Armazene a chave em cofres/variáveis de ambiente.
✓Use sempre HTTPS.
✓Rotacione periodicamente e revogue se suspeitar de vazamento.

Se você revogar ou rotacionar a chave, atualize seus serviços imediatamente com a nova X-API-Key.