Permissões da API key

Cada chave de API carrega um array de permissões no formato recurso/ação. O guard da API bloqueia rotas sem permissão com 403.

Presets

Preset	Inclui
`read`	Apenas permissões de leitura (`get`, `list`, consultas)
`write`	Leitura + criação e atualização
`full`	Todas as permissões abaixo

No dashboard, você pode ajustar permissões manualmente além do preset.

Modo PIX Livre

Chaves do trilho LIVRE aceitam apenas um subconjunto de permissões (PIX, cripto, conta, clientes, webhooks). Rotas de boleto, cobranças PJ e bureau exigem trilho PADRAO.

Tabela completa

PIX e conta

Permissão	Tipo	Rota
`payment-pix/create`	write	`POST /payment-pix/create`
`payment-pix/get`	read	`GET /payment-pix/get/:id`
`payment-pix/list`	read	`GET /payment-pix/list`
`transfer-pix/create`	write	`POST /transfer-pix/create`
`transfer-pix/get`	read	`GET /transfer-pix/get/:id`
`transfer-pix/list`	read	`GET /transfer-pix/list`
`payouts/create`	write	`POST /payouts/create` (alias)
`payouts/get`	read	`GET /payouts/get/:id`
`payouts/list`	read	`GET /payouts/list`
`transfer-internal/create`	write	`POST /transfer-internal/create`
`transfer-internal/get`	read	`GET /transfer-internal/get/:id`
`transfer-internal/list`	read	`GET /transfer-internal/list`
`refunds/create`	write	`POST /refunds/create`
`refunds/get`	read	`GET /refunds/get/:id`
`refunds/list`	read	`GET /refunds/list`
`account/balance`	read	`GET /account/balance`
`account/transactions`	read	`GET /account/transactions`

Cripto

Permissão	Rota
`payment-crypto/currencies`	`GET /payment-crypto/currencies`
`payment-crypto/create`	`POST /payment-crypto/create`
`payment-crypto/get`	`GET /payment-crypto/get/:id`
`payment-crypto/list`	`GET /payment-crypto/list`
`transfer-crypto/create`	`POST /transfer-crypto/create`
`transfer-crypto-auto/create`	`POST /transfer-crypto-auto/create`
`transfer-crypto/get`	`GET /transfer-crypto/get/:id`
`transfer-crypto/list`	`GET /transfer-crypto/list`

MED e boleto

Permissão	Rota
`meds/list`	`GET /meds/list`
`meds/get`	`GET /meds/get/:id`
`meds/evidence`	`POST /meds/:id/evidence`
`boleto/create`	`POST /boleto/create`
`boleto/get`	`GET /boleto/get/:id`
`boleto/list`	`GET /boleto/list`

Conta Padrão PJ

Permissão	Rota
`customers/*`	`POST/GET/PATCH/DELETE /customers/*`
`billings/*`	Cobranças avulsas
`subscriptions/*`	Assinaturas
`pix-automatic/*`	PIX automático
`pix-pay/*`	Pagar QR e transações
`mobile-recharge/*`	Recarga móvel
`serasa/*`	Bureau (negativação e relatórios)

Webhooks e subcontas

Permissão	Rota
`webhooks/create`	`POST /webhooks/create`
`webhooks/list`	`GET /webhooks/list`
`webhooks/get`	`GET /webhooks/get/:id`
`webhooks/update`	`PATCH /webhooks/update/:id`
`webhooks/delete`	`DELETE /webhooks/delete/:id`
`subaccount/*`	Todas as rotas `/subaccount/*`

IP allowlist

Além das permissões, a chave pode restringir IPs (allowAnyIp: false + lista CIDR). Requisições de IP não listado retornam 403.

Próximo passo

Criar sua primeira chave

​Presets

​Modo PIX Livre

​Tabela completa

​PIX e conta

​Cripto

​MED e boleto

​Conta Padrão PJ

​Webhooks e subcontas

​IP allowlist

​Próximo passo