Saltar al contenido
Capgo - Actualizaciones en vivo para aplicaciones Capacitor Capgo

API Claves

Las claves API se utilizan para autenticar solicitudes al Capgo API. Las claves son específicas de la organización y se pueden asignar roles de control de acceso basado en rol para un control de acceso fino. Cada clave también puede tener una fecha de vencimiento opcional y puede crearse como una clave 'segura' (hashada) donde el valor en texto plano solo se muestra una vez.

Usando una clave API

Sección titulada “Usando una clave API”

Pasa tu clave API en la x-api-key cabecera de cada solicitud:

Ventana de terminal
curl -H "x-api-key: YOUR_API_KEY" https://api.capgo.app/...

La authorization cabecera también se acepta, pero está destinada principalmente a tokens JWT. Cuando el valor es una clave API formateada como UUID, funciona, pero x-api-key la cabecera recomendada para todos los tipos de claves (incluidas claves seguras/hasheadas) es

Permisos de RBAC

Sección titulada “Permisos de RBAC”

Las claves API utilizan el mismo sistema de control de acceso basado en roles (RBAC) que las cuentas de usuario. Al crear o administrar claves a través de la aplicación web, asignas roles a dos niveles:

  • Rol de la organización — Define las permisos básicos de la clave en toda la organización (por ejemplo, org_admin, org_member).
  • Roles de la aplicación — Permisos opcionales por aplicación (por ejemplo, app_admin, app_developer, app_uploader, app_reader).

Si una clave API tiene vinculaciones de rol explícitas, solo se evalúan esas vinculaciones para verificaciones de permisos. Los permisos personales del propietario de la clave no se heredan por la clave.

Un diagrama que explica cómo funcionan los permisos de la clave RBAC API

Permiso de creación de organización

Título de la sección “Permiso de creación de organización”

La creación de organizaciones con una clave API ahora utiliza un permiso global explícito: org.create.

Este permiso es separado de las vinculaciones de roles de org/app normales porque una nueva organización no existe aún cuando POST /organization/ se llama. Para crear organizaciones con una clave API:

  • La clave API debe incluir org.create en global_permissions.
  • La misma clave API también debe tener una vinculación organización-escopada org_admin o org_super_admin vinculación.
  • Las nuevas claves API no reciben org.create por defecto. Habilita Permitir crear organizaciones cuando se crea o edita una clave de RBAC API en la consola.
  • Existing write-capable org admin/super admin API keys were backfilled with org.create para que las integraciones existentes puedan seguir creando organizaciones.

Cuando una clave API crea una organización, Capgo asigna automáticamente esa misma clave API como org_super_admin en la organización recién creada. Esto permite a la integración gestionar la organización que acaba de crear sin necesidad de una vinculación de rol manual separada.

Si crea una clave API a través de API, incluya global_permissions junto con la vinculación de administrador de org:

{
  "name": "Provisioning key",
  "hashed": true,
  "bindings": [
    {
      "role_name": "org_admin",
      "scope_type": "org",
      "org_id": "00000000-0000-0000-0000-000000000000"
    }
  ],
  "global_permissions": ["org.create"]
}

org.create solo se aplica a la creación de organizaciones. Eliminar una organización sigue requiriendo permiso de eliminación en la organización objetivo, típicamente a través de org_super_admin.

Claves Seguras (Hasheadas)

Sección titulada “Claves Seguras (Hasheadas)”

When creando una clave segura, el servidor genera el material de la clave y devuelve el valor de texto plano una vez. Solo se almacena una huella. Esto significa:

  • La clave de texto plano no se puede recuperar después de la creación.
  • La regeneración produce una nueva clave de texto plano (mostrada una vez) y actualiza la huella almacenada.
  • Se recomiendan claves hashadas para el uso en producción.

Algunas organizaciones imponen claves hashadas a través de la enforce_hashed_api_keys política de la organización.

Título de la sección “Vencimiento”

Las claves pueden tener una fecha de vencimiento opcional. Las claves vencidas se rechazan en el nivel de verificación de permisos.

Las políticas de organización pueden imponer:

Vencimiento

  • Expiración obligatoria (require_apikey_expiration) — Todas las nuevas claves deben tener una fecha de vencimiento.
  • TTL máximo (max_apikey_expiration_days) — La fecha de vencimiento no puede ser más allá de N días de ahora.

Mejores prácticas de seguridad

Sección titulada “Mejores prácticas de seguridad”
  1. Principio de Privilegios Mínimos: Asigne el rol más restrictivo que aún permita que su integración funcione
  2. Rotación Regular: Rota sus API claves periódicamente utilizando la característica de regeneración
  3. Almacenamiento Seguro: Almacene sus API claves de manera segura y nunca las comita a control de versiones
  4. Use Claves Hashed: Crea claves seguras (hash) para integraciones de producción
  5. Establecer Expiración: Establece siempre una fecha de expiración en claves utilizadas para acceso temporal o CI/CD
  6. Restricciones de Ámbito: Restringe claves a aplicaciones específicas con el rol mínimo requerido

Uso Común

Sección titulada “Uso Común”
  1. Integración CI/CD: Crea claves escopadas a aplicaciones específicas con el app_uploader o app_developer rol, y establece una fecha de expiración
  2. Automatización de Despliegue: Utilice claves con el app_developer rol para scripts de despliegue automatizados
  3. Herramientas de Monitoreo: Crea claves con el app_reader rol para integraciones de monitoreo externas
  4. Acceso de Administrador: Utilice claves con el org_admin rol con moderación para herramientas administrativas
  5. Integraciones de Terceros: Crea claves restringidas a aplicaciones específicas con el rol mínimo requerido
  6. Provisión de Organización: Utilice un org_admin o org_super_admin La clave de RBAC con org.create solamente para automatización de confianza que necesita crear organizaciones

Siga adelante desde API Claves

Sección titulada “Siga adelante desde API Claves”

Si está utilizando API Claves para planificar flujos de autenticación y cuentas, conecte con @capgo/capacitor-login-social para los detalles de implementación en @capgo/capacitor-login-social, @capgo/capacitor-passkey para el detalle de implementación en @capgo/capacitor-passkey, @capgo/capacitor-native-biometric para el detalle de implementación en @capgo/capacitor-native-biometric, Autenticación en dos factores para el detalle de implementación en Autenticación en dos factores, y SSO (Empresas) para el detalle de implementación en SSO (Empresas).