> ## Documentation Index
> Fetch the complete documentation index at: https://docs-attestly.code4source.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Autenticação

> Envie sua API key como Bearer token. Só isso.

```http theme={null}
POST /v1/evaluate HTTP/1.1
Host: api-attestly.code4source.com
Authorization: Bearer atk_live_4eC39HqLyjWDarjtT1zdp7dcrYx2bfBNxxxxxxxx
Content-Type: application/json
```

Sem OAuth, sem token endpoint, sem refresh.

## Verificações por request

Toda chamada passa por três checagens, em ordem:

1. **Autenticação** — o bearer precisa ser uma `atk_*` válida emitida
   para sua Organização.
2. **Subscription** — seu contrato precisa estar ativo. Subscription
   expirada ou suspensa retorna `402 SUBSCRIPTION_INACTIVE`.
3. **Quota** — você precisa estar dentro do teto mensal contratado.
   Estourou: `429 QUOTA_EXCEEDED`.

Veja [Erros](/pt-BR/reference/errors) e
[Quotas](/pt-BR/reference/quotas) para os formatos de resposta e
headers.

## Boas práticas de segurança

* Guarde as chaves em um secret manager. Nunca commite, nunca logue,
  nunca coloque em query string de URL.
* Uma chave por ambiente (`production`, `staging`, `ci`). Se uma
  vazar, o estrago fica contido.
* Rotacione em mudanças de pessoal e pelo menos anualmente. A
  rotação é zero-downtime: peça uma nova chave, faça deploy, peça
  para revogar a antiga.
* Suspeita de vazamento? Email `security@attestly.io`. A revogação
  propaga em milissegundos.
