Crie uma API Key
No Console, vá em Developers > API Keys > Create.Dê um nome (ex: Copie e guarde com segurança — não dá pra ver de novo. Se perder, gere outra e revogue essa.
Sync HubSpot prod) e clique Create. A chave aparece uma única vez no formato:Faça seu primeiro request
Pegue os dados do usuário associado à chave (endpoint canônico para validar credencial):A resposta inclui o
id do usuário associado à chave, email, displayName, role, o nome do customer (tenant) e o token efetivo da sessão. Use esse retorno como sanity check de que sua chave está válida e apontando pro tenant certo.O tenant é resolvido automaticamente a partir da chave — não é preciso enviar header adicional. Cada API Key pertence a um único tenant; toda chamada autenticada já chega com o contexto correto.
Pronto!
A partir daqui você consegue chamar os demais endpoints autenticados da API com a mesma
Authorization: Bearer cativa_live_....O catálogo público de endpoints da API (incluindo criação de usuário, atribuição de badge e leitura de comunidades/posts) será publicado em breve nesta documentação. Por enquanto, alinhe os endpoints específicos com o time da Cativa via dev@cativa.digital.
Boas práticas
Não commite chaves
Não commite chaves
Use variáveis de ambiente (ex:
CATIVA_API_KEY) ou cofres de secrets (Doppler, 1Password Secrets, AWS Secrets Manager). Nunca commite chaves no repositório.Nomeie suas chaves
Nomeie suas chaves
Use nomes descritivos (
Sync HubSpot prod, CI build, Migração 2026-Q2) — facilita auditar e revogar a correta quando precisar.Rotacione periodicamente
Rotacione periodicamente
Recomendamos rotação a cada 90 dias. Se uma chave vazar, revogue imediatamente no Console e gere outra.
Trate erros
Trate erros
401 Unauthorized significa que a credencial é inválida ou foi revogada. 403 Forbidden indica chave válida sem permissão para o recurso. Sempre logue o traceId retornado no corpo da resposta de erro.