Todos os posts

FourA Digest, 29 de maio a 5 de junho de 2026

As chaves de API criadas esta semana podem ser reveladas. O Dashboard se lembra delas, o reprodutor de curl do playground as insere e você pode cancelar requests lentos.

Destaques

As chaves de API agora podem ser reveladas. Gere uma no seu Dashboard, saia, volte na semana seguinte e a chave ainda estará lá esperando por você atrás de um clique. Também corrigimos três arestas no playground da API para que o reprodutor de curl realmente execute.

Novidades

Chaves de API que você pode ver novamente

A maioria das APIs SaaS fornece uma chave apenas uma vez. Se perdê-la, precisa regenerar. Atualizar cada serviço que usa a chave antiga. Fazer o redeploy. Você já sabe como funciona.

Não gostávamos desse padrão. Então nós o mudamos.

As chaves criadas a partir de agora vêm com uma cópia revelável. Abra o seu Dashboard, clique no ícone de olho ao lado de qualquer chave, confirme, e o valor completo de pk_live_... aparece na sua frente. Quinze segundos depois, ele se oculta automaticamente e desaparece da página. Cada revelação é registrada no log de auditoria.

Alguns detalhes que foram importantes para nós:

  • O caminho que autentica seus requests ainda é um hash unidirecional, intocado. A cópia revelável é um segundo artefato criptografado (AES-256-GCM) que fica ao lado dele. Se algum dia rotacionarmos a chave de criptografia, a validação continuará funcionando.
  • As chaves criadas antes desta alteração não podem ser reveladas. Elas não têm uma cópia criptografada para ser lida de volta. Elas continuam funcionando para sempre através do caminho do hash. O Dashboard mostra um pequeno marcador de cadeado e uma dica de "regenerar para ativar", para que você saiba quais chaves possuem o novo recurso e quais não.
  • O controle de acesso corresponde ao restante da API de chaves. Você pode revelar suas próprias chaves. Um administrador da organização pode revelar qualquer chave na organização. Membros com permissão de escrita de equipe podem revelar chaves de equipe. Funções de apenas leitura não podem.
  • As chaves que um administrador da organização cria em nome de um colega de equipe também podem ser reveladas, com as mesmas regras. A capacidade reside na chave, não na interface que a criou.

Se você estava acumulando entradas no gerenciador de senhas para chaves do FourA, pode parar.

O reprodutor de curl agora é curl de verdade

Cada request que você cria no playground vem com um curl pronto para copiar e colar ao lado. A ideia é simples: ajuste o request na UI, pegue o curl, jogue-o em um script, no terminal de um colega de equipe ou em um relatório de bug.

Até esta semana, o curl tinha um placeholder onde a chave deveria ir (PASTE_PLAINTEXT_FOR_my-key), e você tinha que preenchê-lo manualmente antes de executar. O reprodutor não era um reprodutor. Era um template.

Isso acabou. Para qualquer chave revelável, o playground tem um botão Reveal no painel do curl. Clique nele, o texto simples real é inserido no curl, copie tudo, cole no seu terminal e ele executa. Clique novamente para ocultar. A revelação ocorre apenas em memória para aquela sessão, nunca é gravada em disco, e o painel do curl acompanha o menu suspenso de chaves, de modo que a alternância de chaves nunca vaza uma na outra. Chaves mais antigas que não podem ser reveladas ainda mostram o placeholder, porque não conseguimos recuperar o texto simples delas.

Botão Cancel em requests em andamento

Se você fizesse um request no playground contra um site de destino lento, a única opção costumava ser esperar pelo timeout. Adicionamos um botão Cancel ao painel de carregamento. Clique nele, o request é abortado de forma limpa e a área de response retorna ao seu estado ocioso com "Request cancelado." em vez de um erro assustador.

Coisa simples. Mas o playground agora parece uma ferramenta real em vez de uma demo. Você pode testar um site instável, abortar, ajustar o request, tentar novamente, sem nunca ter que ficar sentado esperando.

Por Trás dos Panos

Três pequenos ajustes no botão Reveal do curl após o lançamento inicial: o toast de erro mostra a mensagem amigável em vez do código de erro da máquina, o botão não fica mais travado em "Revelando…" se outra coisa falhar, e um bug de especificidade CSS que mantinha o botão visível em chaves que não suportam revelação foi corrigido.

Se você viu algum desses problemas, eles devem estar corrigidos. Se não viu, não perdeu nada.

Gere, copie, cole, perca o controle. Volte mais tarde. O Dashboard se lembra.