Duas superfícies de API

1. API v2

Pensada para integrações que usam POST /v2/oauth/token e rotas /v2/pix/... na raiz do host (sem prefixo /api).
  • Credenciais OAuth: use public_id e secret da chave de API (Basic: usuário/senha, ou JSON grant_type=client_credentials). Opcionalmente client_id / client_secret como alias dos mesmos valores.
  • Demais chamadas: header Authorization: Bearer {access_token}.

2. API v1 (integradores)

Rotas sob /api/v1/*. Autenticação: header Authorization: Bearer {public_id}.{secret} (ponto entre os dois valores). Detalhes em API v1 — sobre.

Webhooks (postbacks)

A NavePay pode notificar sua URL quando há cash-in (pagamento recebido) ou cash-out (transferência). O endpoint público típico é:
  • https://seu-dominio.com/api/webhooks/bspay
O path acima é o identificador técnico exposto pelo gateway; use-o exatamente como está na sua URL de integração. limite de requisições por IP e validação de JSON; em produção recomenda-se ?token= secreto e, após configurar o token no painel, ativar a exigência de token na URL nas variáveis de ambiente do servidor (nomes em .env.example). Payloads seguem o modelo descrito nesta documentação para cash-in (plano) e cash-out; também aceitamos o formato com objeto requestBody.

Próximos passos