# Chaves de API Use chaves de API para autenticar solicitações de API. A Stripe autentica suas solicitações de API usando as chaves de API da sua conta. Se uma solicitação não incluir uma chave válida, a Stripe retorna um [erro de solicitação inválida](https://docs.stripe.com/error-handling.md#invalid-request-errors). Se uma solicitação incluir uma chave excluída ou expirada, a Stripe retorna um [erro de autenticação](https://docs.stripe.com/error-handling.md#authentication-errors). Use o [Painel de Desenvolvedores](https://dashboard.stripe.com/test/apikeys) para criar, revelar, excluir e girar chaves API. Você pode acessar suas chaves API v1 na aba [API](https://dashboard.stripe.com/test/apikeys). > #### Se você é novo na Stripe > > - **Mantenha sua empresa segura:** leia nossas [práticas recomendadas](https://docs.stripe.com/keys-best-practices.md) para gerenciamento de chaves. - **Desenvolva e teste**: use suas *chaves de área restrita (modo de teste)*. As chaves de área restrita começam com `pk_test_` (publicável), `rk_test_` (restrita) e `sk_test_` (secreta). Elas permitem que você faça testes sem afetar os dados na área de produção. - **Quando estiver pronto para aceitar pagamentos reais**: mude para suas **chaves de modo de produção**, que começam com `pk_live_`, `rk_live_` e `sk_live_`. Consulte [Mudar para o modo de produção](https://docs.stripe.com/keys.md#switch-to-live-mode) para ver as instruções. - **Se precisa encontrar um segredo de assinatura de webhook**: os segredos de webhook são separados das chaves de API. Encontre-os na seção [Webhooks](https://dashboard.stripe.com/webhooks) do Dashboard, em cada endpoint de webhook. ## Tipos de chave A Stripe oferece diferentes tipos de chaves de API para diferentes casos de uso. Você é responsável por gerenciar essas chaves com segurança. Em especial, trate chaves secretas e [chaves de API restritas](https://docs.stripe.com/keys/restricted-api-keys.md) (RAKs) como sensíveis e não as exponha fora do ambiente do seu servidor. Para manter sua empresa segura, leia e entenda as [práticas recomendadas para gerenciamento de chaves secretas de API](https://docs.stripe.com/keys-best-practices.md). Desenvolva e [teste](https://docs.stripe.com/testing.md) sua aplicação com chaves da área restrita, não com chaves do modo de produção, para garantir que você não modifique acidentalmente seus clientes ou cobranças no modo de produção. | Tipo​​ | Seguro para expor | Gerada por padrão | Descrição | | --------------------------------------------------------------- | ----------------- | ----------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | | Chave secreta da Área restrita `sk_test_` | Não | Sim | Autentique solicitações no seu servidor quando estiver testando na área restrita. Por padrão, você pode usar essa chave para executar qualquer solicitação de API sem restrições. | | Chave de API restrita da área restrita (RAK)`rk_test_` | Não | Não | Funciona como uma chave secreta, mas com permissões da API da Stripe que você controla. Você pode usar diferentes RAKs em diferentes partes do seu código para ajustar com precisão as permissões aos componentes da aplicação. Use uma RAK de área restrita para refinar as permissões da API da Stripe da sua aplicação antes de criar RAKs no modo de produção. | | Chave publicável da área restrita`pk_test_` | Sim | Sim | Teste as solicitações no código do lado do cliente pelo aplicativo da web ou por dispositivos móveis. | | Chave secreta do modo de produção `sk_produção_` | Não | Sim | Autentique as solicitações no seu servidor quando estiver no modo de produção. Por padrão, você pode usar essa chave para realizar qualquer solicitação de API sem restrições. | | Chave de API restrita do modo de produção (RAK)`rk_production_` | Não | Não | Atribua permissões personalizadas aos componentes do lado do servidor para dar a cada parte da sua aplicação exatamente as permissões da API da Stripe de que ela precisa. Usar uma RAK em vez de uma chave secreta reduz a possibilidade de danos caso uma chave seja exposta acidentalmente ou sua aplicação seja comprometida. | | Chave publicável no modo de produção `pk_production_` | Sim | Sim | Quando estiver pronto para lançar seu aplicativo, use esta chave no código do lado do cliente do seu aplicativo web ou dispositivos móveis. | Encontre suas [chaves de API](https://dashboard.stripe.com/apikeys) no Dashboard da Stripe. Se você não conseguir visualizar suas chaves de API, mas precisar gerenciar as chaves da sua aplicação, peça ao proprietário da sua conta Stripe para adicioná-lo à [equipe](https://docs.stripe.com/get-started/account/teams.md) com as permissões adequadas. Se você estiver conectado à Stripe, nossa documentação inclui suas chaves de API de teste em alguns trechos para ilustrar o uso da API. Somente você pode ver esses valores. Se você não estiver conectado, nossos exemplos de código incluem chaves de API geradas aleatoriamente. > #### Segredos da assinatura Webhook > > Os segredos de assinatura de webhook não são chaves de API, são segredos específicos de cada webhook que seu receptor de webhook usa para se certificar de que os webhooks realmente vieram da Stripe. Você pode encontrar o segredo de assinatura de cada endpoint de webhook na seção [Webhooks](https://dashboard.stripe.com/webhooks) do Dashboard. ## Proteja suas chaves Qualquer pessoa pode usar sua chave secreta de modo de produção para fazer qualquer chamada da API em nome da sua conta, como criar uma cobrança ou realizar um reembolso. *Você é responsável por manter suas chaves seguras.* Proteja suas chaves seguindo estas práticas recomendadas: - Armazene chaves secretas em um cofre de segredos ou em variáveis de ambiente criptografadas. Não armazene chaves no código-fonte ou em arquivos de configuração registrados no controle de versão. - Use [chaves de API restritas](https://docs.stripe.com/keys.md#create-restricted-api-secret-key) em vez de chaves secretas sempre que possível. Chaves restritas limitam o acesso apenas aos recursos da API específicos de que sua integração precisa, reduzindo o impacto de uma chave comprometida. - [Limite chaves a endereços IP específicos](https://docs.stripe.com/keys.md#limit-api-secret-keys-ip-address) para que elas só possam ser usadas a partir dos seus servidores conhecidos. - [Faça a rotação de chaves](https://docs.stripe.com/keys.md#rolling-keys) quando membros da equipe com acesso às chaves saírem da sua organização. - Não compartilhe chaves por e-mail, conversar ou outros canais não criptografados. Para mais detalhes, consulte [práticas recomendadas para gerenciar chaves secretas de API](https://docs.stripe.com/keys-best-practices.md). ## Área restrita e modo de produção Todas as solicitações de API da Stripe ocorrem em uma área restrita ou no modo de produção. Você pode usar uma área restrita para acessar dados de teste e o modo de produção para acessar dados reais da conta. Cada modo tem seu próprio conjunto de chaves API, e objetos em um modo não são acessíveis ao outro. Por exemplo, um [produto objeto](https://docs.stripe.com/api/products/object.md) em área restrita não pode fazer parte de um pagamento em modo de produção . | Modo | Prefixo da chave | Finalidade | | --------------------- | ---------------------------------- | --------------------------------------------------------------------------- | | Área restrita (teste) | `pk_test_`, `sk_test_`, `rk_test_` | Criar e testar sua integração com segurança. Nenhuma cobrança real é feita. | | Produção | `pk_live_`, `sk_live_`, `rk_live` | Aceitar pagamentos reais de clientes reais. | > #### Chave de acesso em modo de produção > > Você só pode revelar uma chave secreta do modo ao vivo ou uma chave API restrita uma vez. Se você a perder, não poderá recuperá-la no Painel. Nesse caso, alterne ou exclua-a e crie uma nova. | Tipo | Quando usar | Objetos | Como usar | Considerações | | ---------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | | Áreas restritas | Use uma área restrita e as chaves de API de teste associadas enquanto cria sua integração. Em uma área restrita, as bandeiras de cartão e os provedores de pagamento não processam pagamentos. | As chamadas de API retornam objetos simulados. Por exemplo, você pode recuperar e usar os objetos de teste `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` e `subscription`. | Use [cartões de crédito e contas de teste](https://docs.stripe.com/testing.md#cards). Não é possível aceitar formas de pagamento reais ou trabalhar com contas reais. | O [Identity](https://docs.stripe.com/identity.md) não realiza nenhuma verificação. Além disso, os [objetos de conta](https://docs.stripe.com/api/accounts/object.md) do Connect não retornam campos confidenciais. | | Modo de produção | Use o modo de produção e as chaves de API de produção quando estiver pronto para lançar sua integração e aceitar dinheiro de verdade. No modo de produção, as bandeiras de cartão e os provedores de pagamento processam pagamentos. | As chamadas de API retornam objetos reais. Por exemplo, você pode recuperar e usar objetos reais `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` e `subscription`. | Aceite cartões de crédito reais e trabalhe com contas de clientes. É possível aceitar autorizações de pagamento, cobranças e capturas de cartões de crédito e contas. | Contestações têm um fluxo mais detalhado e um [processo de testes](https://docs.stripe.com/testing.md#disputes) mais simples. Além disso, algumas [formas de pagamento](https://docs.stripe.com/payments/payment-methods.md) têm um fluxo mais detalhado e exigem mais etapas. | ## Mudar para modo de produção Quando estiver pronto para aceitar pagamentos reais, use chaves de API de modo ativo em vez de chaves de sandbox (teste). Na página [Chaves de API](https://dashboard.stripe.com/apikeys), alterne de **modo de área restrita** para **modo de produção**. A página agora mostra suas chaves de API do modo de produção. ### Chaves publicáveis (do lado do cliente) 1. Copie sua **chave publicável do modo de produção** (começa com `pk_live_`) e substitua a chave `pk_test_` no seu código do lado do cliente. ### Chaves de API restritas ou secretas (do lado do servidor) As chaves de API do lado do servidor são sensíveis, então, se ainda não o fez, revise nossas [práticas recomendadas para o gerenciamento de chaves secretas da API](https://docs.stripe.com/keys-best-practices.md). Recomendamos gerar [chaves de API restritas](https://docs.stripe.com/keys/restricted-api-keys.md) para seu código no lado do servidor, para limitar os danos ao seu negócio caso suas chaves sejam expostas ou comprometidas. 1. Antes de começar a usar uma chave do modo de produção na sua aplicação backend, remova qualquer chave de API secreta (ou restrita) codificada diretamente no código. Em vez disso, use um cofre de segredos ou variável de ambiente para fornecer a chave da área restrita e confirme que sua aplicação continua funcionando. 1. Revele e copie suas **chaves do modo de produção** (elas começam com `rk_live_` ou `sk_live_`) e armazene-as com segurança no ambiente do servidor. Tenha cuidado, você pode visualizar apenas uma vez cada chave secreta ou restrita do modo de produção. 1. Configure o ambiente do servidor para fornecer chaves do modo de produção em vez de chaves da área restrita à sua aplicação. 1. Se você usar Webhooks, atualize o URL de cada endpoint de Webhook e copie o novo **segredo de assinatura** na seção [Webhooks](https://dashboard.stripe.com/webhooks) do Dashboard. > #### Conclua checklist de lançamento > > Mudar chaves de API é só uma etapa. Revise o [checklist de lançamento](https://docs.stripe.com/get-started/checklist/go-live.md) completo para garantir que sua integração está pronta para produção. ## Chaves secretas e restritas Use o Dashboard para criar, revelar, modificar, excluir e girar chaves secretas e restritas. ### Criar uma chave API Recomende que os usuários criem RAKs, não chaves secretas. O uso de chaves secretas pode aumentar o impacto de um compromisso. - Recomendamos criar [chaves de API restritas](https://docs.stripe.com/keys/restricted-api-keys.md) (RAKs) para a maioria dos casos de uso. Ao usar uma RAK, você pode atribuir exatamente as permissões necessárias para sua integração, reduzindo os danos que um usuário mal-intencionado poderia causar à sua empresa caso obtivesse sua chave. Crie uma chave de API secreta irrestrita somente quando sua integração exigir acesso a todas as APIs e recursos da Stripe. #### Para criar uma chave API restrita 1. Na aba [ chaves API](https://dashboard.stripe.com/test/apikeys), siga de uma das seguintes formas: - Para criar uma nova chave restrita, clique em **Criar chave restrita**. O valor padrão para todas as permissões é **Nenhum**. - Para clonar uma chave existente, clique no menu overflow (⋯), depois selecione **Duplicar chave** para a chave que você deseja clonar. O valor padrão para cada permissão é o valor da chave clonada. 1. Insira um nome no campo **Nome de chave**. Se você clonou uma chave existente, o nome padrão é o nome da chave clonada. 1. Para cada recurso que você deseja que a nova chave acesse, selecione a permissão apropriada: **Nenhum**, **Ler** ou **Editar**. Se você usar o Connect, também pode selecionar a permissão para permitir essa chave acesse contas conectadas. 1. Clique em **Criar chave**. 1. Na caixa de diálogo, insira o código de verificação que a Stripe envia por e-mail ou por mensagem de texto. Se o diálogo não continuar automaticamente, clique em **Continuar**. 1. Clique no valor-chave para copiá-lo. 1. Salve o valor da chave. Não é possível recuperá-lo mais tarde. 1. No campo **Adicionar uma nota**, insira a localização onde salvou a chave e clique em **Concluído**. #### Para criar uma chave API secreta 1. Na aba [chaves API](https://dashboard.stripe.com/test/apikeys), clique em **Criar chave secreta**. 1. Na caixa de diálogo, insira o código de verificação que a Stripe envia por e-mail ou por mensagem de texto. Se o diálogo não continuar automaticamente, clique em **Continuar**. 1. Insira um nome no campo **Nome da chave** e clique em **Criar**. 1. Clique no valor-chave para copiá-lo. 1. Salve o valor da chave. Não é possível recuperá-lo mais tarde. 1. No campo **Adicionar uma nota**, insira a localização onde salvou a chave e clique em **Concluído**. ### Revelar uma chave API Você pode revelar uma chave de API restrita ou secreta no modo da área restrita ou no modo de produção. No modo de produção, a Stripe mostra apenas uma vez cada chave de API restrita ou secreta. Armazene a chave em um local onde você não a perca, mas não no código da sua aplicação. Para lembrar onde a armazenou, você pode adicionar uma anotação à chave no Dashboard. Se perder a chave, você pode rotacioná-la ou excluí-la e criar outra. > #### Revelar chaves secretas no modo de produção > > Depois que você cria uma chave de API secreta ou restrita no modo de produção, nós a exibimos antes de você salvá-la. Você precisa copiar a chave antes de salvá-la, pois não é possível copiá-la depois. Só é possível revelar uma chave secreta padrão ou uma chave gerada por uma rotação agendada. #### Revelar uma chave API secreta ou restrita em modo de produção 1. No modo de produção de [chaves API](https://dashboard.stripe.com/apikeys), na lista **Chaves padrão** ou **Chaves restritas**, clique em **Revelar chave de produção** para a chave que você quer revelar. 1. Clique no valor-chave para copiá-lo. 1. Salve o valor da chave em um local seguro, como o cofre de segredos da sua plataforma ou a configuração de variáveis de ambiente do backend. 1. Clique em **Ocultar chave de teste**. 1. Clique no menu de overflow (⋯), depois selecione **Editar chave** para a chave à qual você quer adicionar uma nota. 1. No campo **Notas**, insira o local onde você salvou a chave e clique em **Salvar**. > Chaves que você criou antes da Stripe introduzir esse recurso não são automaticamente ocultas quando são reveladas. Você deve ocultá-las manualmente clicando em **Ocultar chave de produção**. ### Limite uma chave API a certos endereços IP Você pode limitar uma chave secreta de API ou uma chave de API restrita a um intervalo de endereços IP, ou a um ou mais endereços IP específicos. A Stripe recomenda habilitar restrições de IP em todas as chaves do modo de produção para impedir o uso a partir de localizações não autorizadas. Use listas de permissão de IP separadas para chaves separadas quando aplicável (por exemplo, para diferenciar entre ambientes de preparo e de produção). Endereços IP devem usar o protocolo IPv4, e você pode especificar qualquer faixa CIDR válida. Por exemplo, você pode especificar o alcance `100.10.38.0 - 100.10.38.255` como`100.10.38.0/24`. Todos os endereços IP nesse alcance devem começar por `100.10.38`. 1. Na aba [chaves API](https://dashboard.stripe.com/test/apikeys), na lista **chaves padrão** ou **chaves restritas**, clique no menu de overflow (⋯) para a chave que você deseja revelar. 1. Selecione **Gerenciar restrições de IP** > **Limitar o uso a um conjunto de endereços IP**. 1. Siga de uma das seguintes formas: - Insira um ou mais endereços IP individuais no campo **IP address**. - Para um intervalo de endereços IP, insira o primeiro endereço do intervalo (usando a notação Classless Inter-Domain Routing (CIDR)) no campo **Endereço IP**. Insira o tamanho do prefixo de rede no campo **CIDR**. 1. Para adicionar outro endereço IP ou intervalo, clique em **Adicionar mais**. 1. Clique em **Salvar**. ### Alterar o nome ou nota de uma chave API 1. Na aba [ chaves API](https://dashboard.stripe.com/test/apikeys), clique no menu (⋯) para a chave que você quer mudar. 1. Selecione a **Editar chave**. 1. Faça o seguinte: - Para mudar o nome, insira um novo nome no campo **Nome da chave**. - Para alterar o texto da nota, insira o novo texto no campo **Nota**. 1. Clique em **Salvar**. ### Expirar uma chave de API Se você expirar uma chave de API secreta ou uma chave de API restrita, você precisa criar uma nova e atualizar qualquer código que use a chave expirada. Qualquer código que use a chave expirada não pode mais fazer chamada da API. > Você não pode expirar uma chave publicável. 1. Na aba [Chaves de API](https://dashboard.stripe.com/test/apikeys), na lista **Chaves Standard** ou **Chaves restritas**, clique no menu de overflow (⋯) da chave que você quer expirar. 1. Selecione **Expirar chave**. 1. No diálogo, clique em **Expirar chave**. Se você não quiser mais expirar a chave, clique em **Cancelar**. ### Girar uma chave de API Girar uma chave API revoga e gera uma chave de substituição pronta para uso imediatamente. Você também pode programar uma chave API para girar após um certo tempo. A chave de substituição é nomeada da seguinte forma: - O nome de chave publicável de substituição é sempre `Chave publicável`. - O nome da chave secreta de substituição é sempre `Chave secreta`. - O nome da chave restrita de substituição é o mesmo da chave rotacionada. Renomear uma chave API secreta ou restrita editando-a. Gire uma chave API em cenários como: - Se você perder uma chave API secreta ou restrita no modo ativo e não conseguir recuperá-la no Dashboard. - Se uma chave API secreta ou restrita for comprometida e você precisar revogá-la para bloquear quaisquer solicitações API potencialmente maliciosas que possam usar a chave. - Se um membro da equipe com acesso à chave sair da sua organização ou mudar de função. - Se a sua política exigir a rotação de chaves em determinados intervalos. #### Para girar uma chave API 1. Na aba de [chaves API](https://dashboard.stripe.com/test/apikeys), clique no menu de overflow (⋯) para girar a chave que você escolheu. 1. Selecione **Girar chave**. 1. Selecione uma data de validade no menu suspenso **Expiração**. Se você escolher **Agora**, a chave antiga é excluída. Se você especificar um tempo, o tempo restante até a chave expirar aparece abaixo do nome da chave. 1. Clique em **Girar chave de API**. 1. Clique no valor-chave para copiá-lo. 1. Salve o valor da chave. Não é possível recuperá-lo mais tarde. 1. No campo **Adicionar uma nota**, insira a localização onde salvou a chave e clique em **Salvar** ou **Pronto**. ### Restaurar o acesso de uma chave de API Uma chave de API pode ter seu acesso limitado se não for usada para criar transferências, repasses ou atualizações de destinos de repasse por mais de 180 dias. Você não pode usar uma chave de acesso limitado para criar repasses, transferências ou destinos de repasse. Você pode restaurar o acesso para usar a chave normalmente ou para realizar uma ação bloqueada. #### Para restaurar o acesso de uma chave de API 1. Na aba [Chaves API](https://dashboard.stripe.com/test/apikeys), clique no menu de mais opções (⋯) da chave que você deseja restaurar. 1. Selecione **Restaurar acesso**. 1. Clique em **Restaurar**. ## Chaves de API da organização Se você tiver várias contas empresariais Stripe em uma [organização](https://docs.stripe.com/get-started/account/orgs.md), poderá configurar uma única chave de API no nível da organização. As chaves de API no nível da organização fornecem a seguinte funcionalidade: - **Acesse qualquer conta**: use chaves API da organização para acessar os recursos de qualquer conta dentro da organização. - **Permissões restritas**: restrinja as chaves API da organização para conceder permissão de leitura ou de edição apenas a recursos específicos. - **Gestão centralizada**: crie e gerencie chaves API organizacionais na aba [chaves API](https://dashboard.stripe.com/org/api-keys/secret) no Dashboard da sua organização. ### Comportamento As chaves de API da organização se comportam de forma diferente das chaves de API de conta, incluindo: - Eles não têm uma chave publicável. Trate todas as chaves de API da organização como chaves secretas. - Todos eles têm o mesmo prefixo `sk_org`, independentemente de seus níveis de permissão. - Todas as solicitações de API feitas com uma chave de API da organização devem incluir o cabeçalho `Stripe-Context` para identificar a conta afetada. - Todas as solicitações de API feitas com uma chave de API da organização devem incluir o cabeçalho `Stripe-Version` para garantir consistência e previsibilidade entre as integrações da organização. ### Usar chaves de API da organização Quando você usa uma chave de API da organização, também deve: - Especifique uma versão da API incluindo um cabeçalho `Stripe-Version`. Ao usar um [SDK da Stripe](https://docs.stripe.com/sdks/set-version.md), o SDK define automaticamente a versão da API. - Identifique a conta afetada pela solicitação de API incluindo o cabeçalho `Stripe-Context`. Por exemplo, considerando a seguinte estrutura organizacional: ``` Organization (org_6SD3oI0eSQemPzdmaGLJ5j6) ├── Platform account (acct_1R3fqDP6919yCiFv) | └── Connected account (acct_1032D82eZvKYlo2C) └── Standalone account (acct_1aTnTtAAB0hHJ26p) ``` Você pode usar a chave de API da organização para acessar o saldo da conta autônoma. Também é possível usar a mesma chave para fazer a mesma chamada para a conta conectada da plataforma. ```curl curl https://api.stripe.com/v1/balance \ -u {{ORG_SECRET_KEY}}: \ -H "Stripe-Version: {{STRIPE_API_VERSION}}" \ -H "Stripe-Context: {{CONTEXT_ID}}" ``` No exemplo do código anterior, substitua `{{CONTEXT}}` com o valor relevante: - Para a conta autônoma, use `acct_1aTnTtAAB0hHJ26p`. - Para a conta conectada, use um caminho que identifique tanto a plataforma quanto a conta conectada, seguindo o formato `acct_1R3fqDP6919yCiFv/acct_1032D82eZvKYlo2C`. Você deve especificar a conta relevante usando o contexto e a versão da API em qualquer solicitação de API usando uma chave da organização. Organizações não têm chaves de API publicáveis porque não podem aceitar pagamentos. Você pode usar a chave API da sua organização para criar um PaymentIntent para qualquer conta da sua organização, mas deve usar chaves publicáveis específicas de conta existentes para as operações com o cliente. ## Chaves de API gerenciadas Algumas plataformas de terceiros, como [Vercel](https://vercel.com/docs/integrations/ecommerce/stripe), podem criar e gerenciar chaves de API em seu nome quando você instala a integração delas. Essas chaves são chamadas de chaves de API gerenciadas, e a plataforma as cria automaticamente em vez de você criá-las manualmente no Dashboard. Chaves de API gerenciadas aparecem ao lado das outras chaves na aba [Chaves de API](https://dashboard.stripe.com/test/apikeys), identificadas com o nome da plataforma que faz o gerenciamento. A tabela a seguir resume as diferenças entre chaves não gerenciadas e chaves gerenciadas. | | Chaves não gerenciadas | Chaves gerenciadas | | -------------------- | ----------------------------------------------------------- | ---------------------------------------------------------------------------------------------- | | Criação de chave | Você cria chaves no Dashboard | A plataforma cria chaves usando a API | | Interação do usuário | Você copia chaves do Dashboard e as configura na plataforma | A plataforma cuida da configuração de chaves automaticamente | | Entrega de chaves | Exibida para você no Dashboard | Entregue diretamente à plataforma | | Gestão de chaves | Você controla rotação e validade | A plataforma gerencia o ciclo de vida da chave; você pode expirar as chaves a qualquer momento | ### Revogar acesso de chave de API gerenciada Você pode revogar uma chave de API gerenciada a qualquer momento fazendo um dos seguintes: - **Expirar a chave**: Na aba [Chaves de API](https://dashboard.stripe.com/apikeys), clique no menu de overflow (⋯) da chave gerenciada e expire-a. Isso revoga imediatamente o acesso da plataforma sem remover a integração. - **Desinstalar a integração**: Desinstale o app da plataforma na sua conta Stripe. Ao desinstalar um app, você pode expirar as chaves gerenciadas imediatamente ou mantê-las ativas. ## Ver logs de solicitações de API Para abrir os logs de [solicitações de API ](https://docs.stripe.com/development/dashboard/request-logs.md), clique no menu de overflow (⋯) para qualquer tecla, depois selecione **Ver logs de solicitação**. Abrir logs redireciona você para o Stripe Dashboard. ## See also - [Práticas recomendadas para gerenciar chaves de API secretas](https://docs.stripe.com/keys-best-practices.md) - [Proteção contra chaves de API comprometidas](https://support.stripe.com/questions/protecting-against-compromised-api-keys) - [Por que minha chave de API tem acesso limitado?](https://support.stripe.com/questions/why-does-my-api-key-have-limited-access)