X-API-Key

`X-API-Key` é o header HTTP padrão para autenticar requisições por chave de aplicação. Diferente do `Authorization: Bearer`, não implica troca OAuth e não tem expiração inerente — a key vive até ser rotacionada manualmente. Na Normadata, toda requisição à API deve incluir o header: ``` X-API-Key: nd_live_aB3xF9pQrZ7nW2sT5vU8yK ``` Formato: `nd_` (prefixo do produto) + `live` ou `test` (ambiente) + `_` + 22 caracteres base62 gerados com um PRNG criptográfico. Essa estrutura traz várias propriedades úteis: o prefixo permite identificar visualmente que é uma key da Normadata, o ambiente impede misturar credenciais de produção com sandbox, e os 22 caracteres base62 dão ~131 bits de entropia. Boas práticas: - Nunca colocar a key no frontend (é server-side only). - Sempre usar HTTPS — `X-API-Key` viaja em claro sobre HTTP. - Rotacionar keys periodicamente e ao detectar exposição. - Criar keys separadas por ambiente (dev/staging/prod) e por serviço interno. - Combinar com allowlists de IP quando o caso de uso permitir. Se a key estiver ausente ou inválida, a API responde `401 Unauthorized` com `code: "invalid_api_key"`. Se revogada, `401` com `code: "key_revoked"`.