Autenticación

API v0.1.0

En esta página

Rutiva emite dos tipos de credenciales por comerciante: secret keys (sk_) para el backend y signing secrets (whsec_) para webhooks. El navegador nunca maneja credenciales — solo client_secret efímeros.

API keys

Credencial	Ambiente	Uso
`sk_test_…`	Pruebas	MockBankAdapter responde ~80% éxito / ~20% fallo aleatorio. Latencia simulada 1-3s.
`sk_live_…`	Producción	Conectado al entorno productivo real.
`whsec_…`	Ambos	Signing secret de webhook (al registrar endpoint).

Cómo obtener tus llaves

Durante el MVP las credenciales se entregan manualmente. Solicítalas desde la sección de contacto del landing.

Uso en requests

Header estándar:

bash

Authorization: Bearer sk_test_xxxxxxxxxxxxxxxxxxxxxxxxx

Header alternativo aceptado:

bash

X-API-Key: sk_test_xxxxxxxxxxxxxxxxxxxxxxxxx

bash

# Variables de entorno típicas
RUTIVA_SECRET_KEY=sk_live_xxxxxxxxxxxxxxxxxxxxxx
RUTIVA_BASE_URL=https://rutiva-api.onrender.com

Reglas críticas de seguridad

Nunca incluyas sk_ en código frontend, bundles JS, repos públicos ni logs.
Guárdala en variables de entorno del servidor (RUTIVA_SECRET_KEY=sk_xxx).
Si expones una sk_ por error, contacta soporte para rotarla.
Rota tus keys periódicamente.

Endpoints públicos sin autenticación

GET /v1/banks — lista de bancos soportados.
POST /v1/payments/{id}/confirm — confirmación vía client_secret desde browser (la autenticación es el propio token).
GET /health, GET /ping — utilidades.

Todo el resto requiere sk_.