Autenticação

Como o token é usado hoje na API pública da Infiny, qual header o middleware realmente espera e quais erros de autenticação podem aparecer.

Ir para a primeira secao Voltar ao portal

Nesta página

Formato real do Authorization Como o token nasce e como deve ser tratado O que costuma gerar erro de autenticação

Header

Formato real do Authorization

A autenticação pública da Infiny é simples: todas as rotas públicas esperam um token provisionado no painel e enviado no header Authorization.

O middleware público do TMS procura o header Authorization e valida o formato Basic <TOKEN>.

Hoje o valor depois de Basic é tratado como token puro, sem usuário:senha em base64.

Nuance importante do header Authorization

O middleware CheckPublicAPIAuth aceita o formato Authorization: Basic <TOKEN>. Hoje o valor após Basic é tratado como token puro e comparado diretamente na tabela public_integrations.

Requisição autenticada

bash

curl -X POST "https://use.infiny.com.br/api/integration/shipping/quote" \
  -H "Authorization: Basic pk_xxxxxxxxxxxxxxxxx" \
  -H "Content-Type: application/json" \
  -d '{
    "origin": "01001000",
    "destination": "20040030"
  }'

Provisionamento

Como o token nasce e como deve ser tratado

O token é emitido no painel da Infiny. O parceiro deve armazenar esse valor por seller e manter esse vínculo atualizado ao longo da operação.

Ciclo do token

Etapa	Como funciona hoje
Emissão	O token nasce no painel de integrações ou no fluxo /integrate-seller.
Armazenamento	O parceiro deve associar token e reference ao seller correto no seu sistema.
Rotação	A rotação é feita no painel da Infiny. Quando isso acontecer, o parceiro precisa atualizar o valor salvo.
Escopo	O token restringe as leituras e gravações ao seller dono da integração pública.

Boas práticas mínimas

Nunca exponha o token em logs, telas públicas ou URLs compartilháveis.
Armazene o token por seller, não como credencial global da sua conta.
Valide sempre a reference retornada no redirectTo antes de salvar o token.

Falhas comuns

O que costuma gerar erro de autenticação

Quando o header está ausente, mal formatado ou com token inválido, o middleware responde antes mesmo de o controller de negócio ser executado.

Erros mais comuns

Status	Causa provável	Mensagem atual
401	Header Authorization ausente.	Não autorizado
401	Header diferente de Basic <TOKEN>.	Autorização inválida
401	Token não encontrado em public_integrations.	Requisição negada

Mensagens preservadas do backend

Algumas mensagens vêm exatamente como o TMS responde hoje. A documentação simplifica a leitura, mas não mascara o comportamento real da API.

Suporte

Precisa validar um fluxo específico?

Se você estiver homologando uma integração ou precisar conferir um comportamento da API pública atual, fale com a equipe da Infiny antes de subir volume real.

Falar com a Infiny Revisar endpoints