Skip to content

Autenticación

Todas las rutas /v1 requieren una API key en el header X-API-Key:

X-API-Key: mlp_live_REEMPLAZAR

Cada credencial pertenece a una sola compañía. La API obtiene el tenant_id desde la credencial validada; nunca lo toma de query parameters, headers o body enviados por el consumidor.

Scope Permiso
calls:read Listar y consultar llamadas.
workflow_records:read Listar y consultar datos estructurados.

Una credencial sin el scope requerido recibe 403 insufficient_scope.

  • Un administrador de tu organización puede crear y revocar API keys desde el dashboard.
  • El secreto se muestra únicamente al crear la credencial; después sólo queda visible su prefijo.
  • Usá una credencial diferente para producción y pruebas.
  • Guardala en el secret manager del servidor que consume la API.
  • No la uses desde navegadores o aplicaciones móviles.
  • No la incluyas en URLs, capturas, tickets o logs.
  • Pedí una rotación inmediata si sospechás exposición.

Las claves vencidas o revocadas reciben la misma respuesta genérica que una clave inválida para no revelar el estado de una credencial.