Primeros pasos
Autenticación
Todas las rutas públicas bajo /api/v2/* requieren una API key emitida para tu empresa. Esa clave viaja solo desde backend y se valida contra la compañía activa asociada.
X-API-KeyAuthorization BearerSolo backend
Headers
El worker acepta dos formas equivalentes de transportar la clave.
Header recomendado
Authorization: Bearer ck_live_12345678_abcdHeader alternativo
X-API-Key: ck_live_12345678_abcdReglas de validación
La autenticación real del middleware aplica estas condiciones antes de dejar pasar el request.
Prefijos aceptados
La clave debe empezar con
ck_live_ o ck_test_.Empresa activa
La empresa asociada a la clave debe estar en estado
ACTIVE.Key activa
La key no puede estar desactivada ni expirada.
Solo del lado del servidor
No expongas la clave en navegador ni app móvil. Todas las llamadas públicas deben salir desde backend.
Errores de auth
Estos mensajes reflejan el contrato real del middleware de API key.
| HTTP | Mensaje | Significado |
|---|---|---|
| 401 | Missing API key. Provide via Authorization: Bearer header | No enviaste Authorization ni X-API-Key. |
| 401 | Invalid API key format | La clave no tiene un prefijo soportado. |
| 401 | Invalid API key | La clave no existe o no coincide con un hash emitido. |
| 401 | API key is not active | La clave fue desactivada. |
| 401 | API key has expired | La clave tiene fecha de expiración y ya venció. |
| 401 | Company is not active | La empresa todavía no fue activada para operar. |
Buenas prácticas
Las siguientes prácticas evitan exposición accidental de credenciales y simplifican soporte.
Guardalo en variables de entorno
Guardá la API key en variables de entorno o secrets manager.
Nunca lo mandes al cliente
No la envíes nunca al frontend, SDK móvil ni checkout embebido.
Usá un único punto de integración
Centralizá las llamadas a Transferfix en un servicio interno de tu backend.
Rotá a propósito
Si generás una nueva key, actualizá tu entorno y validá la integración antes de desactivar la anterior.