Pular para o conteúdo principal

Autenticação

MuPag separa claramente credenciais públicas e credenciais de servidor.

sk_* para operações autenticadas

Use Authorization: Bearer sk_test_... no sandbox e Authorization: Bearer sk_live_... em produção. Essas chaves pertencem ao backend, jobs e workers.

pk_* apenas para tokenização de cartão

Quando um checkout precisa tokenizar cartão, a chave pública do PSP é usada no iframe ou no fluxo de tokenização aprovado. Ela não substitui a sk_* e não deve ser enviada para criar cobranças do lojista.

Regras operacionais

  • Nunca envie sk_* do navegador.
  • Nunca grave chave em URL, query string ou screenshot.
  • Em POST, envie também Idempotency-Key.
  • Se houver rotação de segredo, aceite uma pequena janela de sobreposição no backend e zere caches antigos.

Esta página liberou seu próximo passo?

O feedback permanece no fluxo da documentação e nunca deve incluir dados de clientes ou cartões.