Skip to main content
Toda requisição à API pública é autenticada com HTTP Basic Auth usando um par de tokens:
TokenPrefixoPapel no Basic Auth
Token públicopb_...username — identifica a credencial
Token secretosk_...password — prova a posse da credencial
O header enviado é:
Authorization: Basic base64(pb_xxx:sk_xxx)
A conta (cliente) é determinada pela credencial — não há parâmetro de conta nas rotas.

Exemplos

curl -u "pb_SEU_TOKEN_PUBLICO:sk_SEU_TOKEN_SECRETO" \
  "https://api.sortify.com.br/v1/raffles"

Obtendo credenciais

As credenciais são criadas no painel da Sortify. Cada conta pode ter múltiplas credenciais nomeadas (por exemplo, “produção” e “homologação”), revogáveis individualmente.
O token secreto é exibido somente no momento da criação. Ele é armazenado de forma irreversível (hash) e não pode ser recuperado depois. Se você perdê-lo, crie uma nova credencial e revogue a antiga.

Boas práticas

  • Guarde os tokens em variáveis de ambiente ou em um gerenciador de segredos — nunca no código-fonte.
  • Use uma credencial por ambiente/integração. Assim, revogar uma não derruba as demais.
  • Monitore o campo last_used_at no painel para identificar credenciais em desuso.

Rotação de tokens

Para rotacionar credenciais sem interrupção:
1

Crie uma nova credencial

No painel, crie a credencial substituta e copie o novo par de tokens.
2

Atualize sua integração

Troque o par de tokens na sua aplicação e confirme que as requisições seguem funcionando.
3

Revogue a credencial antiga

A revogação tem efeito imediato: a próxima requisição com a credencial revogada é rejeitada.

Erros de autenticação

HTTPCódigoQuando ocorre
401API_CREDENTIALS_MISSINGHeader Authorization ausente
401INVALID_API_CREDENTIALSFormato inválido, token público desconhecido ou token secreto incorreto
401API_CREDENTIAL_REVOKEDCredencial revogada
403ACCOUNT_INACTIVEConta desativada na plataforma
429RATE_LIMIT_EXCEEDEDMais de 120 requisições por minuto com a mesma credencial
A API não envia o header WWW-Authenticate em respostas 401 — isso evita o pop-up de login em navegadores. Clientes HTTP gerados automaticamente que dependem desse header devem tratar o 401 diretamente.