Skip to main content

API Keys

Todas as requisições à API devem incluir o header Pagozz-Token com sua chave de API. 
curl https://api.pagozz.com/v1/links \
  -H "Pagozz-Token: pgz_live_XXXXXXXXXXXXXXXXXXXXXXXX"

Formato

pgz_test_XXXXXXXXXXXXXXXXXXXXXXXX   # Ambiente de teste (sandbox)
pgz_live_XXXXXXXXXXXXXXXXXXXXXXXX   # Ambiente de produção
O prefixo da chave determina automaticamente o ambiente:
PrefixoAmbienteComportamento
pgz_test_*TestPagamentos simulados, sem cobrança real
pgz_live_*LivePagamentos reais processados via PIX

Gerenciamento

Crie e gerencie suas chaves em Configurações → Chaves de API no painel do Pagozz.
AçãoDescrição
CriarGera nova chave com scopes selecionados
RotacionarGera nova chave com mesmos scopes, revoga a anterior
RevogarDesativa a chave permanentemente
A chave secreta é exibida apenas uma vez na criação (ou rotação). Guarde-a em um local seguro.

Scopes

Cada chave possui um conjunto de scopes que definem as permissões de acesso.
ScopeDescrição
links:readListar e visualizar links
links:writeCriar, editar e excluir links
payments:readConsultar status de pagamentos
payments:writeCriar pagamentos
transactions:readListar e visualizar transações
withdrawals:readListar e visualizar saques
withdrawals:writeSolicitar saques
webhooks:readListar e visualizar webhooks
webhooks:writeCriar, editar e remover webhooks
Scopes padrão na criação: links:read, links:write, payments:read, payments:write, transactions:read.

Versionamento

A API usa versionamento por header no estilo Stripe. Inclua o header Pagozz-Version para fixar a versão: 
curl https://api.pagozz.com/v1/links \
  -H "Pagozz-Token: pgz_test_..." \
  -H "Pagozz-Version: 2026-03-15"
Se omitido, a versão padrão 2026-03-15 será usada. Toda resposta inclui o header Pagozz-Version indicando a versão utilizada.
VersãoStatus
2026-03-15Atual (padrão)

Política de evolução

  • Adições (novos campos, novos endpoints) não geram nova versão
  • Mudanças incompatíveis geram nova versão com data nova
  • Versões antigas continuam funcionando por pelo menos 12 meses
  • Depreciações são comunicadas no changelog e por email

Rate Limiting

A API possui limites de requisições por conta:
ContextoLimite
Autenticado (API key)100 req/min por conta
Público20 req/min
Ao exceder o limite, a resposta será 429 Too Many Requests. O SDK retenta automaticamente com backoff exponencial.

Segurança

  • Chaves são armazenadas como hash SHA-256 no banco de dados
  • Validação usa comparação timing-safe
  • Todas as requisições são logadas (método, path, status, duração)
  • Máximo de 10 chaves por conta