Pular para o conteúdo principal
Sua conta OneSignal inclui IDs públicos e chaves de API privadas.
  • Use IDs (como o App ID) para configurar SDKs e referenciar aplicativos.
  • Use chaves de API para autenticar requisições seguras à REST API.
Este guia explica o que cada chave faz, onde encontrá-la e como gerenciá-la com segurança.

App ID

O App ID é um UUID (v4) público que identifica seu aplicativo OneSignal. Você o utiliza para:
  • Inicializar o SDK (Configuração do SDK Mobile, Configuração do SDK Web)
  • Fazer requisições de API como Criar mensagem e Criar usuário
Encontre seu App ID no painel em Settings > Keys & IDs ou através da API View apps.
Página Keys & IDs do painel OneSignal mostrando a localização do App ID.

Seu App ID é seguro para uso na inicialização do SDK no lado do cliente. Ele não é um segredo.

Organization ID

O Organization ID (Org ID) é um UUID (v4) que agrupa todos os aplicativos sob seu plano de cobrança. Você precisa dele para APIs de nível organizacional como: Encontre-o em Organizations > Your Organization > Keys & IDs ou através da API View an app.
Painel OneSignal mostrando o Organization ID em Keys & IDs.

Visão geral das chaves de API

O OneSignal suporta dois tipos de chaves de API:
Tipo de ChaveEscopoUsado Para
Chave de API do AppAplicativo únicoEnviar mensagens, criar usuários, operações no nível do aplicativo
Chave de API da OrganizaçãoOrganização inteiraCriar aplicativos, gerenciar chaves de API, configuração no nível da organização
Você pode criar até 16 chaves de API e configurar lista de permissão de IP.
Ambas são segredos privados e devem ser armazenadas com segurança.

Chave de API do App

Use uma Chave de API do App para a maioria das requisições da REST API relacionadas a um aplicativo específico. Formato de autenticação: Inclua a chave no cabeçalho Authorization com o esquema de autenticação key: 
Authorization: key YOUR_REST_API_KEY
Você pode criar Chaves de API do App em App Settings > Keys & IDs ou através da API Create API key.
Trate as Chaves de API do App como senhas.
  • Nunca as exponha no código do cliente mobile ou web.
  • Nunca as envie para repositórios públicos (como GitHub).
  • Armazene-as em um backend seguro ou gerenciador de segredos.

Chave de API da Organização

Use uma Chave de API da Organização para: Crie no painel OneSignal em Organizations > Your Organization > Keys & IDs
Assim como as chaves de API do App, você pode configurar até 16 chaves de organização e incluir configuração de lista de permissão de IP.

Criar chaves de API

Você pode criar chaves de API do App e da Organização a partir do painel.
  • Chaves de API do App também podem ser criadas através da API Create API key.
  • Chaves de API da Organização só podem ser criadas pelo painel.
Criar uma chave:
  1. Vá para Keys & IDs (nível do App ou da Organização).
  2. Clique em Add Key.
Modal para criar uma nova chave de API no painel OneSignal.
  1. Insira um nome descritivo (exemplo: CRM Sync Service).
  2. (Opcional) Configure a lista de permissão de IP.
  3. Clique em Create.
  4. Copie e armazene a chave com segurança imediatamente.
As chaves de API são exibidas apenas uma vez. Se você perder a chave, será necessário rotacioná-la.

Lista de permissão de IP (opcional, mas recomendado)

Você pode restringir o uso da chave de API a endereços IP específicos.
  • Insira blocos CIDR separados por espaço
    • Exemplo: 192.0.2.0/24 192.0.2.123/32
  • Requisições de IPs não permitidos serão negadas.
Use a lista de permissão de IP para:
  • Serviços de backend com IPs estáticos
  • Ambientes de produção de alta segurança
Campo de configuração de lista de permissão de IP no modal de criação de chave de API.

Gerenciamento de chaves

Após criar uma chave, você pode gerenciá-la através da interface de lista de chaves:
Lista de chaves de API no painel OneSignal mostrando nomes e IDs das chaves.
O Key ID é um rótulo para referência. Ele não é a chave de API secreta.

Editar chaves de API

Você pode:
  • Atualizar o nome da chave
  • Modificar as configurações da lista de permissão de IP
A edição não altera o valor do segredo. Nenhuma alteração na integração é necessária.
  • Chaves de API do App podem ser atualizadas pelo painel ou pela API Update API key.
  • Chaves de API da Organização só podem ser atualizadas pelo painel.

Rotacionar chaves de API

Rotacionar uma chave:
  • Gera um novo segredo
  • Mantém o mesmo nome e configuração
  • Invalida imediatamente o segredo antigo
Quando rotacionar:
  • A chave foi exposta
  • Um membro da equipe com acesso saiu
  • Rotação de segurança de rotina
Após rotacionar uma chave, atualize todos os serviços que a utilizam. Requisições com a chave antiga falharão.
  • Chaves de API do App podem ser rotacionadas pelo painel ou pela API Rotate API key.
  • Chaves de API da Organização só podem ser rotacionadas pelo painel.

Deletar chaves de API

Deletar uma chave:
  • Remove-a permanentemente
  • Bloqueia imediatamente o acesso à API usando essa chave
Use a exclusão quando uma chave não é mais necessária.
  • Chaves de API do App podem ser deletadas pelo painel ou pela API Delete API key.
  • Chaves de API da Organização só podem ser deletadas pelo painel.

Migrando de chaves de API legadas

Introduzimos o gerenciamento avançado de chaves de API em 14 de novembro de 2024. Passos de Migração
  1. Crie uma nova chave de API do App ou da Organização.
  2. Substitua a chave legada no seu código.
  3. Atualize a URL base da sua API para:
https://api.onesignal.com
Ao invés de: 
https://onesignal.com/api/v1/
  1. Desative ou delete a chave legada em Keys & IDs.
Teste as requisições de API em um ambiente de staging antes de desativar sua chave legada em produção.

Desabilitando seu aplicativo

Bloquear acesso à API:
  • Delete ou rotacione as chaves de API para bloquear imediatamente o uso da REST API.
Desativar envio de mensagens:
  • Vá para Settings > Manage App > Disable App.
Consulte Aplicativos e organizações desativados para mais detalhes.
Desabilitar um aplicativo não interrompe a cobrança. Os Usuários Ativos Mensais (MAU) de aplicativos desabilitados ainda contam para a cobrança.Para interromper a cobrança, delete o aplicativo ou mova-o para uma Organização Gratuita.Entre em contato com support@onesignal.com para obter assistência.

Melhores práticas de segurança

  • Armazene as chaves de API em um backend seguro (nunca no lado do cliente).
  • Use variáveis de ambiente ou um gerenciador de segredos.
  • Habilite a lista de permissão de IP quando possível.
  • Rotacione as chaves periodicamente.
  • Use chaves separadas para staging e produção.