> ## Documentation Index
> Fetch the complete documentation index at: https://docs.superlead.app/llms.txt
> Use this file to discover all available pages before exploring further.

# Autenticação

> Chaves de API, escopo por empresa e boas práticas de segurança.

Toda requisição à API exige uma chave no header `Authorization`, no esquema Bearer:

```bash theme={null}
curl https://api.superlead.app/v1/templates \
  -H "Authorization: Bearer sl_live_SUA_CHAVE"
```

Requisições sem chave, com chave desconhecida ou com chave revogada recebem `401 invalid_api_key`.

## Como funcionam as chaves

* O formato é `sl_live_` seguido de um segredo aleatório.
* A chave é criada no painel da Superlead, em **Integrações**, por administradores ou proprietários da empresa.
* O valor completo aparece **uma única vez**, na criação. A Superlead armazena apenas um hash — não é possível recuperar uma chave perdida, apenas revogá-la e criar outra.
* Cada chave pertence a uma empresa e enxerga **apenas** os leads, mensagens e templates dela. Não existe chave multi-empresa: se você opera mais de uma empresa no painel, crie uma chave em cada uma.

<Note>
  Se um envio retorna `404 lead_not_found` para um lead que você vê no painel, confira se a chave usada pertence à mesma empresa em que o lead está.
</Note>

## Revogação e rotação

Para trocar uma chave sem downtime:

<Steps>
  <Step title="Crie uma chave nova">
    No painel, em **Integrações**, gere a segunda chave. Chaves antigas continuam válidas até serem revogadas.
  </Step>

  <Step title="Atualize seus sistemas">
    Substitua a chave antiga pela nova nas suas integrações.
  </Step>

  <Step title="Revogue a antiga">
    A revogação é imediata: a próxima requisição com a chave antiga recebe `401`.
  </Step>
</Steps>

## Boas práticas

* Trate a chave como senha: use variáveis de ambiente ou cofres de segredos, nunca a versione em repositórios.
* Não use a chave em código que roda no navegador ou em aplicativos distribuídos — ela deve viver apenas em servidores seus.
* Use uma chave por integração (uma para o n8n, outra para o seu backend). Se uma vazar, você revoga sem derrubar as demais.
