Skip to main content

Autenticação

Toda chamada para a API da troqpay precisa de uma chave válida. Sem ela, a requisição não passa.
A chave identifica sua conta e também define se a requisição está em teste ou em produção.

O que você precisa saber

Bearer token

Toda requisição autenticada usa o header Authorization: Bearer ....

Mesmo endpoint para os dois ambientes

Você continua usando https://api.troqpay.com. O ambiente muda de acordo com a chave.

Chaves de teste

Use prefixo trq_test_ para homologação e validação do fluxo.

Chaves de produção

Use prefixo trq_live_ para cobranças reais.

Header obrigatório

Authorization: Bearer trq_test_xxxxxxxxx
Exemplo: 
curl https://api.troqpay.com/v1/checkouts \
  -H "Authorization: Bearer trq_test_xxxxxxxxx"

URL-base

https://api.troqpay.com
Isso vale para teste e produção.

Idempotência

Se a sua aplicação cria um checkout, envie também o header Idempotency-Key. 
Idempotency-Key: order_1001
Isso evita duplicidade quando houver retry de rede, reenvio da sua aplicação ou repetição acidental da mesma criação de checkout.
Se você já usa um identificador interno do pedido, normalmente ele é um bom ponto de partida para o valor da Idempotency-Key.

Boas práticas

  • guarde suas chaves em variáveis de ambiente
  • nunca exponha segredos no front-end
  • use chaves separadas para teste e produção
  • revogue a chave imediatamente em caso de suspeita de vazamento

Erros comuns

HTTPCódigoO que normalmente significa
401unauthorizedChave ausente, inválida ou mal formatada
403forbiddenChave sem permissão para o recurso
429rate_limitedMuitas requisições em pouco tempo

Próximos passos