Pular para o conteúdo principal

Autenticação

Toda chamada à API Frota162 precisa provar que veio de alguém autorizado. Fazemos isso com um mecanismo chamado HMAC-SHA256 — uma assinatura digital que garante a identidade de quem está fazendo a requisição.

Resumo rápido: você tem duas chaves (um token e uma chave secreta). A cada chamada, calcula uma assinatura a partir delas e envia nos headers. A API confere a assinatura e, se bater, processa a requisição.

O que você precisa enviar

Toda requisição deve incluir dois headers:

HeaderValorO que faz
AuthorizationBasic {ACCESS_TOKEN}Identifica quem está chamando
Key{HMAC_SIGNATURE}Prova que quem está chamando tem a chave secreta

A assinatura é calculada assim:

HMAC_SIGNATURE = HMAC-SHA256(ACCESS_TOKEN, SECRET_KEY)
Bom saber

A assinatura não muda enquanto suas credenciais forem as mesmas. Calcule uma vez e reutilize em todas as chamadas.

Como funciona na prática

  SEU SISTEMA                          API FROTA162
       │                                     │
       │  1. Calcular assinatura:            │
       │     Key = HMAC-SHA256(token, sk)    │
       │                                     │
       │  2. Enviar requisição               │
       │     Authorization: Basic {token}    │
       │     Key: {assinatura}               │
       ├────────────────────────────────────>│
       │                                     │  Confere a assinatura
       │  3. Resposta com os dados           │
       │<────────────────────────────────────│
       │                                     │

Onde obter as credenciais

As credenciais são geradas no painel Frota162 — acesse Configurações → Usuários, edite seu usuário e clique em "Gerar Token" e "Gerar Secret Key". Ainda não fez isso? Veja o passo a passo completo em Primeiros Passos.

Você vai obter:

CredencialO que é
ACCESS_TOKENIdentificador de acesso (vai no header Authorization)
SECRET_KEYChave secreta usada para calcular a assinatura (vai no cálculo do header Key)

Segurança

  • Armazene ACCESS_TOKEN e SECRET_KEY em variáveis de ambiente — nunca diretamente no código-fonte
  • Use HTTPS em todas as requisições (os endpoints da API já exigem isso)
  • A SECRET_KEY nunca deve ser exposta ao navegador do usuário ou transmitida em texto aberto

Próximos passos

Preciso de...Ir para...
Exemplos de código e detalhes técnicos do HMACAutenticação HMAC — Passo a Passo