Autenticação
MuPag separa claramente credenciais públicas e credenciais de servidor.
sk_* para operações autenticadas
Use Authorization: Bearer sk_test_... no sandbox e Authorization: Bearer sk_live_... em produção. Essas chaves pertencem ao backend, jobs e workers.
pk_* apenas para tokenização de cartão
Quando um checkout precisa tokenizar cartão, a chave pública do PSP é usada no iframe ou no fluxo de tokenização aprovado. Ela não substitui a sk_* e não deve ser enviada para criar cobranças do lojista.
Regras operacionais
- Nunca envie
sk_*do navegador. - Nunca grave chave em URL, query string ou screenshot.
- Em
POST, envie tambémIdempotency-Key. - Se houver rotação de segredo, aceite uma pequena janela de sobreposição no backend e zere caches antigos.
Esta página liberou seu próximo passo?
O feedback permanece no fluxo da documentação e nunca deve incluir dados de clientes ou cartões.