Rate limiting - GoatPay

Visão geral

A API aplica rate limiting global para manter estabilidade e segurança.

Métrica	Valor
Limite	100 requisições por minuto
Janela	60 segundos
Identificador	API key (`X-API-Key` ou `Authorization: Bearer`)

Quando você envia uma chave válida, o contador é por chave — integrações diferentes na mesma conta podem usar chaves distintas com limites independentes. Requisições sem chave (rotas públicas de auth, health, webhooks de entrada dos PSPs) continuam limitadas por IP.

O header X-API-Key é lido antes da validação da chave para o rate limit. Chaves inválidas ou revogadas ainda compartilham o bucket daquele valor de chave (hash), não o IP — evita abuso por rotação de IP com a mesma chave.

Resposta 429

Quando o limite é excedido:

{
  "success": false,
  "error": {
    "code": "TOO_MANY_REQUESTS",
    "message": "Rate limit excedido"
  }
}

Boas práticas

Implemente backoff exponencial ao receber 429.

Em retentativas de POST, envie o mesmo body (incluindo externalReference quando usar) para evitar duplicatas.

Prefira webhooks em vez de polling em GET repetidos.

Próximos passos

Visão geral

Autenticação e envelope de resposta

Guia PIX

Primeiro fluxo de integração

Visão geral Guia

​Visão geral

​Resposta 429

​Boas práticas

​Próximos passos

Visão geral

Guia PIX

Visão geral

Resposta 429

Boas práticas

Próximos passos