Autenticación
Seif usa dos tipos de claves, cada una para un contexto distinto. Las generas y rotas desde tu panel de comercio (Dashboard → Claves de API).
| Clave | Prefijo | Dónde se usa | ¿Secreta? |
|---|---|---|---|
| Clave secreta | sk_test_… / sk_live_… | Servidor → servidor (crear sesiones, consultar transacciones, tarjetas) | Sí. Nunca la expongas en el navegador. |
| Clave publicable | pk_test_… / pk_live_… | El checkout incrustado (navegador) | No. Es segura de exponer. |
El sufijo indica el entorno: test (sandbox, no cobra de verdad) o live (producción).
Clave secreta (server-to-server)
Las llamadas a la API se autentican enviando tu clave secreta como bearer token:
curl https://api.seif.pagosripei.com/v1/transactions \
-H "Authorization: Bearer sk_live_tu_clave_secreta"Nunca pongas tu clave secreta (sk_…) en el frontend, en un repositorio
público, ni en una app móvil. Si se filtra, revócala de inmediato desde el
panel y genera una nueva.
Clave publicable (checkout)
El checkout incrustado se autentica con tu clave publicable mediante el header X-Seif-Key. Es segura de incluir en el navegador porque por sí sola no puede mover dinero: solo opera sobre una sesión de pago que tú ya creaste en tu servidor.
X-Seif-Key: pk_live_tu_clave_publicableBuenas prácticas
- Usa claves
testmientras integras; cambia alivesolo cuando vayas a producción. - Guarda la clave secreta en variables de entorno del servidor, nunca en el código.
- La clave completa se muestra una sola vez al crearla. Si la pierdes, genera otra.
- Rota tus claves periódicamente y revoca las que no uses.
Errores de autenticación
| HTTP | Significado | Qué hacer |
|---|---|---|
401 Unauthorized | Falta la clave, está mal escrita, fue revocada o es de otro entorno. | Verifica el header Authorization/X-Seif-Key y que la clave esté activa. |
403 Forbidden | La clave no tiene permiso para esa operación. | Usa una clave secreta para llamadas de servidor; la publicable solo sirve para el checkout. |
Last updated on