Seu Rastreio

Guia

O que fazer quando a API pública responde 401 (não autorizado)

Para quem lidera a operação e quem implementa a integração.

O HTTP 401 em /api/public/... (quando a rota exige autenticação) indica que a requisição não foi aceita: falta o header, a chave veio errada, truncada, expirou ou foi revogada, ou o formato não bate com o exigido na documentação daquela rota. Não confunda com a página pública de rastreio: quem acompanha o pedido no site em /objetos/... não envia chave; ver outro guia se o sintoma for “página em branco” ou link incorreto.

Regra de ouro: não coloque a chave em e-mail, mensagens instantâneas sem canal seguro aprovado, nem em repositório. Ajuste o `Authorization: Bearer` e o cofre de segredos (CI/CD) antes de abrir chamado — e nunca anexe a chave ao chamado de suporte.

Checklist do integrador (da causa mais comum ao edge case)

  1. Revisar o header Authorization. Compare com a doc de início rápido e com a rota exata que está em produção.
  2. Revalidar a chave e o segredo. Dashboard → Chaves de API; sincronize o que o pipeline injeta (build/segredos) com o valor ativo.
  3. Ler message e helpUrl. Use a documentação do endpoint; se necessário, suporte com contexto, sem a chave.

Ordem lógica de depuração

1) O header é exatamente `Authorization: Bearer` seguido da chave completa (espaço após “Bearer”, sem aspas a mais). 2) A chamada sai do back-end ou de ferramenta aprovada; o navegador do cliente final não carrega a chave em JavaScript. 3) Se a chave trocou, o deploy e as variáveis de ambiente (Vercel, Kubernetes, etc.) precisam refletir a versão ativa. 4) Gere chave nova no Dashboard → Chaves de API, revogue a antiga e alinhe com a governança de acessos.

Se 401 ou outro status persistir, use /contato com rota, horário aproximado e sem a chave no texto. O consumidor final continua no fluxo de /objetos/...; este guia trata API com Bearer.

Perguntas frequentes

Dúvidas comuns de quem coloca a integração em produção.

Acessei /api/public/... na barra do navegador e veio 401. É bug?
A página pública de rastreio (home, /objetos) não é a mesma coisa que chamar a API com o header `Authorization: Bearer` num cliente que permita cabeçalhos (curl, Postman, back-end). Sem o header correto, a API responde 401 por desenho; use a experiência de rastreio no site para o comprador e a documentação para a integração.

Próximo passo: documentação oficial

Parâmetros, tabelas de resposta, limites e exemplos em código — tudo na referência de API pública.

Abrir documentação: início rápido na API
Falar com a equipeInício rápido (versão guia longo)

Atualizado em 23/04/2026