A gestão de tokens é feita exclusivamente pelo dashboard Pontua. Não há
endpoints públicos para criar, listar ou revogar API Keys via API — uma
escolha intencional de segurança: tokens vazados não conseguem criar ou
manipular outros tokens.
Onde gerenciar
oi.pontua.com.br → Gestão de Pessoas → Configurações → API
Lá você consegue:
- Criar novos tokens com nome identificador e validade configurável
- Listar tokens ativos da unidade de negócio
- Renomear tokens (sem afetar o valor)
- Revogar tokens comprometidos (efeito imediato)
- Auditar uso de cada token (último acesso, origem das chamadas)
Como gerar e usar um token
Veja o passo-a-passo completo em:Quick Start
Da geração do token à primeira chamada autenticada em 5 minutos
Autenticação
Validades disponíveis (7d a 5 anos), armazenamento seguro, rotação
Por que não via API?
| Risco | Mitigação |
|---|---|
| Token vazado consegue criar mais tokens com validades longas | Endpoints de gestão fora do escopo público |
| Token vazado consegue revogar tokens legítimos (DoS interno) | Revogação só pelo admin no dashboard |
| Auditoria fica confusa quando criação acontece via API automatizada | Trilha de auditoria sempre tem usuário humano que criou |
Caso precise automatizar rotação
Hoje a rotação requer ação humana no dashboard. Se você tem necessidade real de rotação automatizada (ex.: política corporativa de rotação trimestral programada), fale comtecnologia@pontua.com.br descrevendo:
- Frequência de rotação desejada
- Como o secret é distribuído na sua infra
- Volume de tokens (quantas integrações)
Veja também
- Autenticação — ciclo de vida do token, padrões de wrapper
- Multi-tenant — um token por unidade de negócio