Autenticación y autorización
La API de Flexxible protege el acceso a sus recursos mediante un modelo de seguridad basado en autenticación y autorización.
La autenticación permite identificar al usuario que realiza la solicitud, mientras que la autorización determina a qué recursos y operaciones puede acceder en función de sus permisos.
Para aprender a generar una clave de API, autenticarse y realizar la primera solicitud, consulta la guía Primeros pasos.
Autenticación
La API utiliza un mecanismo de autenticación basado en claves de API (API Keys).
Cada clave de API está asociada a un usuario de Portal y representa su identidad durante las solicitudes realizadas a la API. No es necesario obtener un token de acceso previo ni completar un proceso de autenticación adicional.
Clave de API
La clave de API es el único mecanismo de autenticación admitido por la plataforma.
Características:
- Debe incluirse en todas las solicitudes.
- Identifica al usuario que realiza la petición.
- Limita el acceso a la organización a la que pertenece el usuario.
Autorización
El acceso a los recursos de la API está controlado mediante un sistema de autorización basado en roles.
La autorización se aplica en dos niveles:
- Nivel de endpoint. Determina qué roles pueden acceder a cada endpoint.
- Nivel de acción. Restringe operaciones concretas, como crear, modificar o eliminar recursos, según los permisos del usuario.
El acceso a los recursos depende de los permisos del usuario definidos en Portal. No todos los endpoints están disponibles para todos los roles.
Buenas prácticas
Para proteger las integraciones que utilizan la API, se recomienda:
- Mantener las claves de API en un lugar seguro.
- No compartirlas ni incluirlas en código fuente público.
- Rotar las claves periódicamente.
- Revocar inmediatamente cualquier clave que pueda haberse visto comprometida.