Skip to main content

Autenticação na API

Todos os endpoints exigem um Bearer Token no header Authorization: 
Authorization: Bearer seu_token_aqui
Sem um token válido, a API responde com 401. Permissões insuficientes para o recurso podem resultar em 403.

Onde obter o token

O token pode ser obtido no menu Integrações → Chaves API em: Integrações → Chaves API Integrações → Chaves API → Nova Chave Na criação você também pode vincular o token a um provedor específico — operações de leitura ficam filtradas para aquele provedor e webhooks/defaults globais ficam bloqueados. Veja Tokens vinculados a um provedor para o comportamento completo.

Lista de IPs permitidos

A API pode exigir que as requisições partam apenas de endereços IP que você autorizou. Cadastrar esses IPs ajuda a:
  • Reduzir o risco de uso indevido da sua conta, mesmo que credenciais vazem
  • Limitar a superfície de ataque ao restringir chamadas a servidores ou redes que você controla
  • Atender boas práticas em ambientes corporativos e de produção
Se o IP de origem não estiver na lista, as chamadas podem ser bloqueadas até você incluir o endereço correto.

Onde configurar

Cadastre e atualize os IPs em: Integrações → IPs Permitidos Integrações → IPs Permitidos → Adicionar IP Use os endereços públicos de saída dos servidores, balanceadores ou gateways que chamam a API. Se sua infraestrutura usar IPs dinâmicos, ajuste a lista sempre que eles mudarem.
Revise a lista ao implantar em novo ambiente, ao trocar de provedor ou ao escalar com novos pontos de saída.

Segurança dos webhooks

Os webhooks são chamadas HTTP da Plowf para a sua URL. Além de usar HTTPS no seu endpoint, você deve validar a origem do payload: cada envio inclui assinatura HMAC SHA-256 no header X-Webhook-Signature, gerada com o token secreto do webhook. Assim você garante integridade do corpo e que a notificação veio da plataforma. Leia mais em: