Autenticación y autorización
El acceso a la API está protegido para garantizar que únicamente clientes autenticados y autorizados puedan interactuar con los recursos disponibles.
En esta sección se describe cómo autenticarse mediante clave de API y cómo se aplican los controles de autorización.
Autenticación
La API utiliza un mecanismo de autenticación basado en clave de API.
Todas las peticiones deben incluir la clave en la cabecera Authorization utilizando el esquema Bearer:
Authorization: Bearer <api_key>
Aunque se utiliza el esquema Bearer, el valor corresponde directamente a una clave de API generada en Portal, y no a un token obtenido mediante un proceso de autenticación adicional.
Clave de API
- Es el único mecanismo de autenticación disponible.
- Debe enviarse en todas las peticiones.
- Identifica al usuario, su rol y la organización a la que pertenece.
Generar una clave de API
Para crear esta clave es necesario que el usuario tenga rol de Administrador de organización.
-
Acceder a Portal.
-
En el menú lateral, hacer clic en
Configuración→Organización. -
Seleccionar la pestaña
Claves de API.
-
Hacer clic en
Crear clave de API. -
Completar el formulario.
- Nombre. Identificador de la clave API.
- Rol. Rol asignado al usuario en Portal.
- Duración. Tiempo de validez de la clave.
- Confirmar con
Guardar.
Autorización
El acceso a los recursos de la API está controlado mediante un sistema de autorización basado en roles.
La autorización se aplica en distintos niveles:
- Nivel de endpoint: determina qué roles pueden acceder a cada endpoint.
- Nivel de acción: restringe operaciones específicas (por ejemplo, acciones de modificación o eliminación) en función de los permisos del usuario.
El acceso a los recursos depende de los permisos del usuario definidos en Portal. No todos los endpoints están disponibles para todos los roles.
Buenas prácticas
- Mantener la clave de API segura.
- Generar nuevas claves periódicamente.
- Revocar claves comprometidas.