> ## Documentation Index
> Fetch the complete documentation index at: https://quintus.tec.br/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# Autenticação de agentes públicos

> Como autenticar chamadas na API de agentes públicos.

## Dois mecanismos

### `X-API-Key`

O `X-API-Key` inicia a conversa com o backend da Quintus. Ele serve para criar o `conversation_id` e gerar o `session_token` inicial que será usado daqui em diante.

Use este header para:

* criar a conversa;
* renovar o token da conversa quando necessário;
* autenticar chamadas feitas fora do contexto da conversa.

<Note>
  Crie ou gerencie suas API keys em [app.quintus.tec.br/settings/api-keys](https://app.quintus.tec.br/settings/api-keys). Para agentes públicos, use chaves no formato `qts-pk-...`.
</Note>

### `Authorization: Bearer <session_token>`

O `session_token` é um token temporário e restrito à conversa. Depois que a conversa é criada, o cliente usa esse token para interagir com o agente sem expor a API key pública em cada requisição.

Use o `session_token` para:

* enviar mensagens;
* consultar a conversa;
* fazer streaming;
* enviar arquivos;
* encerrar a sessão;
* enviar feedback.

## Recomendações

* Não exponha a API key diretamente no frontend público — faça a criação da conversa pelo backend.
* Trate expiração de token no cliente.
* Preserve o `session_token` apenas enquanto a conversa estiver ativa.
* Honre `Retry-After` em respostas `429`.
