Pular para o conteúdo principal
API keys permitem que automações chamem a API pública da Acrity sem usar uma sessão humana do Console. Elas são gerenciadas em Console > API Keys, o que requer um admin do Workspace.

Autenticação

Envie a API key no header X-Acrity-Key:
curl \
  -H "X-Acrity-Key: acr_live_..." \
  "https://acrity.io/api/v1/context"
Não envie API keys em query string, logs, screenshots ou tickets de suporte. Use headers e cofre de segredos.

Armazenamento

A chave completa é exibida apenas uma vez, logo após criação ou rotação. A Acrity não armazena o plaintext da API key. Para validar chamadas futuras, a Acrity armazena um hash HMAC-SHA-256 com pepper.

Escopos

Ao criar uma chave, selecione apenas os escopos necessários.
EscopoUso típico
Reviews.Readlistar reviews, decisões e achados
Reviews.Writesolicitar reviews pela API
Repositories.Readlistar e consultar repositórios conectados
Repositories.Writeconectar, atualizar ou desconectar repositórios pela API
Credentials.Readconsultar metadados de credenciais
Credentials.Writecriar ou alterar credenciais pela API
Webhooks.Readlistar webhooks configurados
Webhooks.Writecriar, alterar ou desativar webhooks
Workspaces.Readconsultar contexto e dados do workspace
Workspaces.Writealterar configurações permitidas do workspace
SecurityScans.Readlistar e consultar scans de segurança
SecurityScans.Writeiniciar scans sob demanda
Escopos de escrita implicam maior risco operacional. Prefira uma chave separada para cada automação.

Expiração e IP allowlist

Ao criar uma API key, configure:
  • uma expiração compatível com o uso da automação — a expiração é escolhida na criação e não pode ser alterada depois; para usar um período de validade diferente, crie uma nova chave;
  • uma IP allowlist quando a integração roda em infraestrutura conhecida;
  • um nome descritivo com dono, sistema e ambiente;
  • os escopos mínimos necessários.

Rotação

Rotacionar uma API key gera um novo valor e invalida o segredo anterior. Atualize o cofre de segredos e a automação consumidora imediatamente após a rotação.
1

Rotacionar no Console

Acesse Console > API Keys, encontre a chave na lista e escolha Rotate nas ações da linha.
2

Guardar o novo valor

Copie a chave exibida uma única vez para o cofre de segredos.
3

Atualizar a automação

Atualize o segredo usado pela integração e reinicie o serviço consumidor quando necessário.
4

Validar

Faça uma chamada simples em /api/v1/context para confirmar autenticação, escopos e workspace.

Respostas comuns

StatusSignificado provávelAção
401chave ausente, inválida, expirada ou inativaverifique o header e o estado da key no Console
403chave válida, mas sem escopo necessárioadicione o escopo ou crie uma chave separada
429limite de uso atingidoreduza concorrência, aplique backoff e revise o uso