Saltar a contenido

Tokens de API

Por qué importa

Un token de API es como una contraseña pero para programas, no para personas. Permite que aplicaciones externas (otra herramienta de tu consultoría, un script automatizado, un Zapier) lean o escriban datos en ImmCase sin necesidad de iniciar sesión como un usuario humano.

Usos típicos:

  • Sincronizar tu base de aplicantes con Mailchimp o HubSpot.
  • Conectar ImmCase con un sistema de contabilidad externo.
  • Automatizar tareas con scripts (importar datos de un Excel periódico).
  • Aplicación móvil personalizada que lee datos de ImmCase.

Crear un token

  1. Barra lateral → ConfiguraciónTokens de APICrear.
  2. Llena:
  3. Nombre del token (por qué existe — "Sincronización Mailchimp", "Script importador").
  4. Ámbito (scopes) — qué puede hacer el token. Lectura solamente, lectura+escritura, módulos específicos.
  5. Vencimiento — fecha en que el token deja de funcionar. Recomendado: máximo 1 año.
  6. Generar.
  7. Copia el token al instante — solo se muestra una vez. Si lo pierdes, generas uno nuevo.

Screenshot: pantalla de creación con el token recién generado y aviso de copiar

Usar el token

Quien quiera consumir la API de ImmCase incluye el token en cada petición HTTP:

Authorization: Bearer <tu-token>

La documentación técnica completa de la API la maneja el equipo de desarrollo. Para administradores: lo importante es generar el token correcto con los permisos mínimos necesarios.

Revocar un token

Si un token se compromete (lo subiste por accidente a un repositorio público, alguien lo expuso):

  1. Abre el token → Revocar inmediatamente.
  2. Genera uno nuevo.
  3. Actualiza la aplicación que lo usaba.

El token revocado deja de funcionar al instante. Las peticiones con el token viejo reciben 401 Unauthorized.

Auditoría de uso

Cada token tiene un log de uso:

  • Última vez que se usó.
  • Cuántas peticiones hizo en el último día/semana/mes.
  • Desde qué IPs.

Útil para detectar uso anormal — si un token de "Sincronización Mailchimp" empieza a hacer miles de peticiones desde una IP rara, hay problema.

Buenas prácticas

  • Un token por integración, no un token "para todo". Si revocas uno, no rompes todo.
  • Permisos mínimos — si solo necesita leer aplicantes, no le des permiso de borrar.
  • Vencimiento corto — rotar tokens cada año es buena higiene.
  • Tokens en variables de entorno, no en código. Nunca subas un token a Git.

Ten cuidado con

  • Los tokens son secretos. Trata cada token como una contraseña. Si se filtra, revoca.
  • Tokens sin ámbito = puerta abierta. Un token sin restricciones puede hacer cualquier cosa que un usuario haría. Limita siempre.
  • No reutilices tokens entre ambientes (producción y pruebas). Si pasa algo en pruebas, no quieres que afecte producción.

A dónde sigue