# Chaves de API

Chaves de API identificam consumidores de APIs e costumam ser usadas em conjunto com planos de uso.

## Quando usar

Elas são úteis para:

* controlar o consumo de um cliente específico;
* diferenciar integrações que usam o mesmo endpoint;
* aplicar políticas de uso via plano de uso.

## O que uma chave de API resolve

Uma chave de API ajuda principalmente em governança e operação. Ela permite:

* saber quem está consumindo a API;
* segmentar consumidores por plano;
* investigar consumo e comportamento por cliente;
* facilitar rotação e substituição de credenciais de uso.

## Importante

Uma chave de API não deve ser tratada como mecanismo único de segurança para dados sensíveis. Para proteção forte, prefira combinar com autenticação baseada em OAuth e escopos.

## No produto

No módulo de APIs, você pode:

* listar chaves de API;
* criar e desativar chaves;
* associar chaves a planos de uso;
* inspecionar o contexto operacional quando necessário.

Em ambientes mais sensíveis, trate a visualização e o compartilhamento dessas chaves como processo controlado, porque o backend pode expor o valor efetivo da credencial dependendo do fluxo usado.

## Quando rotacionar

Considere rotacionar uma chave quando:

* houver suspeita de exposição;
* o consumidor mudar de aplicação ou ambiente;
* a chave deixar de representar corretamente o responsável atual;
* uma política interna exigir renovação periódica.

## Boas práticas

* rotacione chaves quando houver suspeita de exposição;
* use uma chave por consumidor ou aplicação;
* nunca incorpore chaves em código frontend público;
* documente responsabilidade e finalidade de cada chave;
* remova ou desative chaves obsoletas para reduzir risco operacional.