Autenticación
La API de iPagos se autentica mediante una llave secreta enviada como usuario en HTTP Basic Auth. Adicionalmente, todos los webhooks salientes son firmados con HMAC-SHA256.
Llaves API
Cada cuenta tiene cuatro llaves activas, dos por ambiente:
| Llave | Ámbito | Dónde usar |
|---|---|---|
pk_sandbox_… | Pruebas | Frontend / móvil |
sk_sandbox_… | Pruebas | Backend |
pk_live_… | Producción | Frontend / móvil |
sk_live_… | Producción | Backend |
sk_… en código de cliente, repos públicos
o variables expuestas en el navegador. Si crees que se filtró, rótala desde el Portal de Clientes
de inmediato.
Encabezado de autenticación
Envía tu llave secreta como nombre de usuario en HTTP Basic, sin contraseña:
curl https://api.ipagos.lat/v1/payments \
-u sk_sandbox_xxxxxxxxxxxxxxxxxxxxx:El encabezado equivalente es:
Authorization: Basic c2tfc2FuZGJveF94eHh4eHh4eHh4eHh4eHh4eHh4eHg6Versionado de API
El número de versión va embebido en la URL (/v1/). Cambios menores y aditivos no
rompen contratos existentes y no incrementan la versión. Cambios destructivos requieren una nueva
versión mayor y son comunicados con al menos 6 meses de anticipación.
Puedes fijar una versión específica enviando el encabezado iPagos-Version: 2026-01-15.
Restricción por IP (opcional)
Cada llave secreta puede limitarse a un conjunto de IPs desde el Portal de Clientes.
Solicitudes desde IPs fuera de la lista responden 401 ip_not_allowed.