Token de API

Un token de API permite a un software externo llamar a los puntos de acceso de la API de Omniscol en nombre del centro, en lectura y, si se seleccionan puntos de acceso de la API de escritura, en escritura.

Es potente, así que conviene manejarlo con cuidado.

Generación

Un token se genera en Compartiendo (Importar, exportar > Compartiendo). Usted proporciona:

  • una clave (generada en Omniscol, con etiqueta y expiración opcional; su fecha de expiración puede modificarse más adelante),
  • un alcance: la lista de puntos de acceso de la API que este token podrá llamar (conceda solo lo estrictamente necesario),
  • opcionalmente una expiración del token. Esta fecha se inscribe en el JWT generado y no puede modificarse después.

Eliminar la clave, o alcanzar su expiración, revoca de inmediato los tokens derivados. Para cambiar la expiración de un token individual, genere un nuevo JWT.

Uso

El token se transmite en la cabecera HTTP Authorization: Bearer <token>, o (menos recomendable para producción) en la URL mediante ?auth=<token>.

Buenas prácticas

  • Una clave por integración — facilita la revocación independiente.
  • Alcance mínimo — marque solo las API necesarias, no todo por defecto.
  • Expiración en el nivel adecuado — use la expiración de la clave para gestionar una integración a largo plazo; use la expiración del token para un acceso temporal no modificable.
  • Rotación periódica — regenere la clave cada 6-12 meses.
  • No en Git — el token no debe acabar versionado en un repositorio público. Use las variables de entorno de su servidor.

Diferencia con OIDC / SSO

Para conectar a usuarios reales con su identidad institucional, use OIDC / SSO. El token de API está destinado a integraciones técnicas de servidor a servidor, no a la conexión diaria de los usuarios.

Véase también