Pular para o conteúdo principal
Esse fluxo é ideal pra scripts, jobs e sincronizações server-to-server — qualquer coisa que não envolve um usuário interativo. Se você quer que o usuário final autentique, use Login com a Cativa.
1

Crie uma API Key

No Console, vá em Developers > API Keys > Create.Dê um nome (ex: Sync HubSpot prod) e clique Create. A chave aparece uma única vez no formato:
cativa_live_8c1d4e2a3b5f4d8a9c6e7f0b1a2d3e4f
Copie e guarde com segurança — não dá pra ver de novo. Se perder, gere outra e revogue essa.
2

Faça seu primeiro request

Pegue os dados do usuário associado à chave (endpoint canônico para validar credencial):
curl https://apis.cativalab.digital/tenant/v1/auth/me \
  -H "Authorization: Bearer cativa_live_8c1d4e2a3b5f4d8a9c6e7f0b1a2d3e4f"
A resposta inclui o id do usuário associado à chave, email, displayName, role, o nome do customer (tenant) e o token efetivo da sessão. Use esse retorno como sanity check de que sua chave está válida e apontando pro tenant certo.
O tenant é resolvido automaticamente a partir da chave — não é preciso enviar header adicional. Cada API Key pertence a um único tenant; toda chamada autenticada já chega com o contexto correto.
3

Pronto!

A partir daqui você consegue chamar os demais endpoints autenticados da API com a mesma Authorization: Bearer cativa_live_....
O catálogo público de endpoints da API (incluindo criação de usuário, atribuição de badge e leitura de comunidades/posts) será publicado em breve nesta documentação. Por enquanto, alinhe os endpoints específicos com o time da Cativa via dev@cativa.digital.

Boas práticas

Use variáveis de ambiente (ex: CATIVA_API_KEY) ou cofres de secrets (Doppler, 1Password Secrets, AWS Secrets Manager). Nunca commite chaves no repositório.
Use nomes descritivos (Sync HubSpot prod, CI build, Migração 2026-Q2) — facilita auditar e revogar a correta quando precisar.
Recomendamos rotação a cada 90 dias. Se uma chave vazar, revogue imediatamente no Console e gere outra.
401 Unauthorized significa que a credencial é inválida ou foi revogada. 403 Forbidden indica chave válida sem permissão para o recurso. Sempre logue o traceId retornado no corpo da resposta de erro.