Pular para o conteúdo principal

Documentation Index

Fetch the complete documentation index at: https://docs.cativa.digital/llms.txt

Use this file to discover all available pages before exploring further.

Esse fluxo é ideal pra scripts, jobs e sincronizações server-to-server — qualquer coisa que não envolve um usuário interativo. Se você quer que o usuário final autentique, use Login com a Cativa.
1

Crie uma API Key

No Console, vá em Developers > API Keys > Create.Dê um nome (ex: Sync HubSpot prod) e clique Create. A chave aparece uma única vez no formato:
cativa_live_8c1d4e2a3b5f4d8a9c6e7f0b1a2d3e4f
Copie e guarde com segurança — não dá pra ver de novo. Se perder, gere outra e revogue essa.
2

Faça seu primeiro request

Toda chamada autenticada com API Key precisa de dois headers:
  • Authorization: Bearer <chave> — sua API Key
  • Cativa-Customer: <slug-do-tenant> — identifica de qual tenant você está consumindo (ex: comunidade-do-pedro). Pode também usar Cativa-Origin: <url-do-tenant> em vez do slug.
Para chamadas OAuth/SSO (/sso/...) o tenant já vai no path, não precisa do header.
Pegue os dados do usuário associado à chave (endpoint canônico para validar credencial):
curl https://apis.cativalab.digital/social/v1/auth/me \
  -H "Authorization: Bearer cativa_live_8c1d4e2a3b5f4d8a9c6e7f0b1a2d3e4f" \
  -H "Cativa-Customer: comunidade-do-pedro"
A resposta inclui o id do usuário associado à chave, email, displayName, role, o nome do customer (tenant) e o token efetivo da sessão. Use esse retorno como sanity check de que sua chave está válida e apontando pro tenant certo.
3

Pronto!

A partir daqui você consegue chamar os demais endpoints autenticados da API com a mesma Authorization: Bearer cativa_live_....
O catálogo público de endpoints da API (incluindo criação de usuário, atribuição de badge e leitura de comunidades/posts) será publicado em breve nesta documentação. Por enquanto, alinhe os endpoints específicos com o time da Cativa via dev@cativa.digital.

Boas práticas

Use variáveis de ambiente (ex: CATIVA_API_KEY) ou cofres de secrets (Doppler, 1Password Secrets, AWS Secrets Manager). Nunca commite chaves no repositório.
Use nomes descritivos (Sync HubSpot prod, CI build, Migração 2026-Q2) — facilita auditar e revogar a correta quando precisar.
Recomendamos rotação a cada 90 dias. Se uma chave vazar, revogue imediatamente no Console e gere outra.
401 Unauthorized significa que a credencial é inválida ou foi revogada. 403 Forbidden indica chave válida sem permissão para o recurso. Sempre logue o traceId retornado no corpo da resposta de erro.