Saltar al contenido principal
Las claves API permiten que los scripts, las herramientas sin código y sus propios servicios backend llamen a la API REST de Flowella en nombre de su organización. En esta página se explica cómo gestionar las claves desde la pantalla de la aplicación Configuración → Claves API. Para saber qué puede hacer la API, consulte la Referencia de la API.

Quién puede gestionar las claves de la API

Solo los roles Owner o Admin ven Configuración → Claves de API. Los miembros no tienen acceso a esta pantalla y no pueden llamar a los puntos finales de la API.

Creación de una clave de API

1

Abra Configuración → Claves API

Desde la navegación de la izquierda, vaya a Configuración → Claves API.
2

Haga clic en Crear clave

Asigna a la clave una etiqueta que describa para qué sirve (por ejemplo, n8n production, analytics export script). Las etiquetas sólo son visibles dentro de Flowella; no se envían en las solicitudes de API.
3

Elija un ámbito de aplicación (opcional)

Por defecto, las claves heredan el conjunto completo de puntos finales de API disponibles para su plan. Opcionalmente, puede restringir una clave a un subconjunto de ámbitos, por ejemplo, sólo lectura de análisis o sólo envío de mensajes.
4

Copia el secreto inmediatamente

Flowella muestra el token secreto exactamente una vez en un modal de confirmación. Cópialo ahora; no podrás volver a verlo. Si la pierdes, debes revocar la clave y crear una nueva.
El secreto sólo se muestra una vez. Flowella almacena una copia con hash y no puede recuperar el texto plano. Trata las claves como contraseñas: nunca las envíes al control de código fuente ni las pegues en chats o documentos compartidos.

Usar una clave

Pasa la clave como un token portador en cada petición: 
curl https://api.flowella.io/v1/messages \
  -H "Authorization: Bearer flwl_live_..." \
  -H "Content-Type: application/json"
Consulte la Referencia API para obtener información detallada sobre los puntos finales, los límites de velocidad y los códigos de error.

Visualización de claves existentes

La lista Configuración → Claves API muestra la de cada clave:
  • Etiqueta
  • Prefijo** (ocho primeros caracteres, como flwl_live_a1b2c3) - útil para comparar con registros.
  • Ámbito
  • Creada en** y creada por.
  • Usado por última vez en - se actualiza con cada solicitud correcta.
  • Estado** - activo o revocado.
El secreto en texto plano nunca se muestra después de la creación.

Rotación de una clave

No hay rotación in situ - creas una nueva clave y revocas la antigua una vez que tu servicio ha cambiado.
1

Crear una sustitución

Siga el flujo Crear anterior para acuñar una nueva clave con el mismo alcance.
2

Desplegar el nuevo secreto

Actualiza tu servicio (o flujo de trabajo n8n, entorno Postman, etc.) para utilizar el nuevo token portador.
3

Confirmar que la nueva clave está activa

Vigila el campo Last used at de la nueva clave: se actualiza en el minuto siguiente a la primera llamada.
4

Revocar la clave antigua

Haz clic en Revoke en la clave anterior. A partir de ese momento, cualquier solicitud que utilice el antiguo secreto devuelve 401 Unauthorized.

Revocar una clave

Haga clic en Revocar en la fila y, a continuación, confirme en el cuadro de diálogo. La revocación es inmediata - las solicitudes en curso que utilicen esa clave podrán completarse, pero la siguiente solicitud devolverá 401. Una clave revocada no puede reactivarse. La fila permanece visible en la lista (en gris, con la marca de tiempo de la revocación) para que tenga una pista de auditoría.

Registro de auditoría

Cada evento de creación, revocación y (si está habilitado) cambio de alcance se escribe en el registro de auditoría de la organización con su usuario, IP y contexto de rastreo. Si su plan o contrato incluye la función de registro de auditoría, puede revisar la actividad de la clave API allí.

Preguntas comunes

No hay límite en los planes de hobby o de pago, pero un gran número de claves activas (más de 50) dificulta la rotación y la revisión. Utiliza una clave por integración en lugar de una por desarrollador.
Las claves no caducan automáticamente. Recomendamos rotarlas al menos cada 12 meses e inmediatamente si una clave puede haber sido expuesta.
Actualmente, las claves se asignan a la organización, no a un canal específico. El alcance a nivel de canal está en la hoja de ruta. Mientras tanto, elija el canal activo a través de la carga útil de la solicitud o la ruta.
Revóquelo inmediatamente desde esta página. Cree un reemplazo con el mismo alcance. Comprueba en el registro de auditoría cualquier solicitud que haya utilizado la clave durante el tiempo en que estuvo expuesta, y gira cualquier secreto posterior que esa clave haya podido crear (por ejemplo, claves de firma de webhooks).

Relacionados

Introducción a la API

Autenticación, errores, límites de tarifa y paginación.

Webhooks

Empuje eventos a sus propios sistemas en lugar de sondeo.

Equipo y funciones

Sólo los propietarios y administradores pueden gestionar claves API.

Seguridad de los datos

Cobertura del registro de auditoría para eventos de creación / revocación de claves.