Autenticación
API keys, scopes y mejores prácticas de seguridad.
API Keys
Cada petición a la API de Whatalo debe incluir un API key en el header X-API-Key.
curl https://api.whatalo.com/v1/products \
-H "X-API-Key: wk_live_abc123..."Formatos de Clave
| Prefijo | Entorno | Uso |
|---|---|---|
wk_live_ | Producción | Datos reales de la tienda, límites de tasa completos |
wk_test_ | Test | Mismos datos, límites de tasa reducidos |
Creación de Claves
Las API keys se crean desde el dashboard de la tienda en Settings > Developer > API Keys. Cada clave tiene scopes específicos que controlan a qué puede acceder.
Las API keys se muestran una sola vez al momento de la creación. Guárdalas en un gestor de secretos seguro — nunca las incluyas directamente en el código fuente.
Scopes
Los scopes definen a qué recursos puede acceder un API key. Usa los scopes mínimos necesarios para tu integración.
| Scope | Acceso |
|---|---|
read:products | Listar y leer productos, variantes |
write:products | Crear, actualizar, eliminar productos |
read:orders | Listar y leer pedidos |
write:orders | Actualizar estado de pedidos |
read:customers | Listar y leer clientes |
write:customers | Crear y actualizar clientes |
read:store | Leer información de la tienda |
read:categories | Listar y leer categorías |
write:categories | Crear, actualizar, eliminar categorías |
read:discounts | Listar y leer descuentos |
write:discounts | Crear, actualizar, eliminar descuentos |
read:webhooks | Listar endpoints de webhooks |
write:webhooks | Crear, actualizar, eliminar webhooks |
Mejores Prácticas de Seguridad
- Nunca expongas claves en código del lado del cliente — las API keys solo deben usarse del lado del servidor
- Usa claves de test para desarrollo — cambia a claves live solo en producción
- Rota claves periódicamente — revoca las claves que no uses
- Usa scopes mínimos — solicita solo los scopes que tu integración necesita
- Monitorea el uso — revisa el Developer Dashboard para detectar actividad inusual
OAuth 2.1
Para integraciones que actúan en nombre de comerciantes (apps de terceros, clientes MCP, integraciones SaaS multitenant), Whatalo ofrece un Authorization Server OAuth 2.1 completo con Dynamic Client Registration, PKCE obligatorio, rotación de refresh tokens, introspección y revocación.
La documentación completa de OAuth está en su propia sección: OAuth 2.1 →