API
Hablame.coPortal Mesh
Start typing to search…

Autenticación API

Autenticación mediante Clave de API

Para acceder a los recursos de nuestra API, es necesario incluir una clave de API válida en cada solicitud. Esta clave actúa como un token de autenticación que verifica tu identidad y autoriza el acceso a los servicios ofrecidos. La clave de API debe enviarse a través de la cabecera HTTP X-Hablame-Key.

Obtención de tu Clave de API

  • Registro: Para obtener una clave de API, primero debes registrarte en nuestro Portal Mesh. Completa el proceso de registro y verificación.
  • Generación de Clave: Una vez registrado, podrás acceder a tu panel de control donde podrás generar una nueva clave de API. Esta clave es única y debe mantenerse confidencial.
  • Seguridad: Trata tu clave de API como una contraseña. No la compartas públicamente ni la incluyas en archivos de código fuente que puedan ser expuestos.

Enviando la Clave de API en tus Solicitudes

Para autenticar una solicitud, necesitas una Clave de API (Api Key) la cual puedes enviar en el Header, en el Query o como un campo adicional en el JSON del body de la solicitud.

Opcion 1: Enviar el API Key en el Header

adjunte su clave de API en la cabecera de la solicitud HTTP como sigue:

GET /endpoint HTTP/1.1
X-Hablame-Key: tu_clave_de_API_aquí

Ejemplo de uso en cURL:

curl -X GET 'https://www.hablame.co/endpoint' \
-H 'X-Hablame-Key: tu_clave_de_API_aquí'
Opcion 2: Enviar el API Key en el Query

Envia el parametro X-Hablame-Key en la URL de la solicitud API

HTTP/1.1
https://www.hablame.co/endpoint/?X-Hablame-Key=xxxxxxxxxxxxxxxxxxxxx
Opcion 3: Enviar el API Key en el objeto Json de la Solicitud

Agrega la propiedad X-Hablame-Key al objeto JSON que envias en el body del request

{
    "X-Hablame-Key":"xxxxxxxxxxxxxxxxxxxxxxx"
}

Recomendamos enviar el API Key como Header a la solicitud API, sin embargo, muchas aplicaciones no permiten agregar cabeceras y se requiere utilizar un metodo diferente.

Manejo de Errores de Autenticación

Si se realiza una solicitud sin una clave de API o con una clave inválida, la API responderá con un código de estado HTTP 401 (Unauthorized), indicando que la solicitud no pudo ser autenticada. Asegúrate de manejar estos errores adecuadamente en tu aplicación para informar a los usuarios sobre la necesidad de autenticación o problemas relacionados con sus claves de API.

Buenas Prácticas

  • Regeneración de Claves: Si sospechas que tu clave de API ha sido comprometida, elimina la clave API actual y genera una nueva desde tu panel de control inmediatamente.
  • Rotación de Claves: Cambia regularmente las claves API para minimizar el riesgo en caso de que una clave sea comprometida. Establece una política de rotación, como cada 3, 6 o 12 meses, dependiendo del nivel de seguridad requerido.
  • Expiración Automática: Configura tus claves API para que expiren automáticamente después de un período de tiempo predefinido. Esto limita el tiempo durante el cual una clave comprometida puede ser utilizada.
  • Seguridad en el Transporte: Asegúrate de realizar todas tus solicitudes a la API a través de HTTPS para evitar la exposición de tu clave de API a través de redes no seguras.
  • Almacenamiento Seguro: Nunca almacenes claves API en archivos de configuración o código fuente que pueda ser expuesto públicamente. Utiliza gestores de secretos o servicios especializados para almacenar claves de forma segura.
  • Evitar el Hardcoding: Nunca hardcodees claves API directamente en el código. En su lugar, usa variables de entorno o servicios de gestión de secretos.

Al seguir estas pautas, puedes asegurar una integración segura y eficiente con nuestra API, protegiendo tanto tus recursos como los de tus usuarios.