Base URL: https://api.orbioapi.com.br
Autenticação
A Orbio API usa API key para chamadas públicas (/v1/*).
O console (/app) usa sessão com cookies + CSRF para chamadas em /v1/console/*.
API key (API pública)
Envie a chave no header Authorization:
http
Authorization: Bearer <API_KEY>Exemplo completo:
http
POST https://api.orbioapi.com.br/v1/accounts/search
Authorization: Bearer <API_KEY>
Content-Type: application/json
{
"spec": {
"kind": "account_query",
"spec_version": "2.0",
"entity": "company",
"limit": 20,
"filters": {
"industry": {
"cnae_any_of": ["6201-5/00"],
"cnae_exclude": [],
"secondary_cnae_mode": "off",
"text_hints": []
},
"geo": {
"uf_any_of": ["SP"],
"municipality_ibge_any_of": [],
"municipality_tom_any_of": []
},
"company": {
"registration_status_any_of": [],
"company_size_code_any_of": [],
"headquarters_only": true,
"simples_opt_in": null,
"mei_opt_in": null,
"started_after": null,
"started_before": null
},
"contact": {
"require_email": false,
"require_phone": false,
"require_any_contact": false
}
},
"sort": [],
"scoring": { "strategy": "balanced", "random_seed": null },
"output": {
"format": "json",
"include_explain": false,
"fields": ["cnpj", "legal_name", "uf"]
},
"explain": {
"assumptions": [],
"warnings": [],
"unmapped_constraints": [],
"confidence": 0.9
}
}
}Boas práticas
- Não exponha a API key no frontend público.
- Rotacione a chave em caso de vazamento.
- Use variáveis de ambiente no backend.
Sessão do console
Para o console, as requisições usam cookies de sessão e um token CSRF (X-CSRF-Token).
Esse fluxo é exclusivo do console e não deve ser usado por integrações externas.
Erros de autenticação
401 authentication_required: chave ausente.403 authentication_invalid/authentication_disabled: chave inválida ou desativada.
Veja exemplos completos em Erros e códigos.