Skip to main content
A Plowf permite que sua conta opere com múltiplos provedores financeiros simultaneamente. Cada integração ativa aparece em GET /providers como um provedor — com saldo, limites e chaves PIX próprios. Por padrão, um token de API tem acesso a todos os provedores da conta. Você também pode emitir um token vinculado a um provedor específico — útil para isolar responsabilidades, separar contabilidade ou limitar a superfície de risco de uma integração externa.

Como criar

Crie a chave em Integrações → Chaves API e selecione o provedor ao qual ela deve ficar restrita. Tokens sem provedor selecionado continuam funcionando como antes.

Comportamento do token vinculado

Quando um token está vinculado a um provedor, a API aplica automaticamente o escopo em todas as chamadas:
  • Leituras filtradas: GET /payments, GET /transfers, GET /pix-keys, GET /meds e GET /providers retornam apenas registros do provedor vinculado.
  • provider_uuid no body é ignorado: ao chamar POST /transfers, POST /pix-keys ou POST /pix-keys/auth-code, o provedor do token sempre prevalece — mesmo que você envie um provider_uuid diferente.
  • Detalhes de outros provedores: GET /providers/{uuid} retorna 404 se o UUID informado não for o provedor do token.
  • Defaults: GET /providers/defaults só mostra o provedor vinculado nas listas de payment_type em que ele estiver configurado como padrão.

Operações bloqueadas

As chamadas a seguir respondem com HTTP 403 e a mensagem “Operação não permitida para tokens vinculados a um provedor.”:
  • GET, POST e DELETE em /api/v1/webhooks/* — webhooks são configurados no nível da conta, não do provedor
  • PUT /api/v1/providers/defaults — alterar a lista global de defaults exige um token sem escopo de provedor
{
  "message": "Operação não permitida para tokens vinculados a um provedor."
}

Quando preferir cada formato

Use um token globalUse um token vinculado a provedor
Backoffice ou painel interno que precisa enxergar toda a contaMicroserviço dedicado a uma linha de negócio com provedor próprio
Ferramenta que precisa gerenciar webhooks ou defaultsIntegração externa em que você quer limitar o blast radius
Códigos que ainda escolhem o provedor por operação (provider_uuid)Ambientes em que faz sentido separar credenciais por contabilidade/risco
Você pode criar quantos tokens vinculados quiser — um por provedor — e mantê-los lado a lado com um token global usado pelo seu backoffice.