Autenticación
Cada solicitud a la API pasa un token en la cabecera:
Authorization: Bearer <token>
Hay dos tipos de acceso:
API key de hotdoc
Para el acceso programático al procesamiento de documentos. Formato del token: hotdoc_<id>.<secret>. Se crea en el panel; el token completo se muestra una sola vez, tras lo cual solo se conserva una versión enmascarada (hotdoc_<id>). Una clave tiene una caducidad opcional (expiresAt; sin ella, la clave no caduca nunca) y una marca de tiempo de último uso (lastUsedAt); una clave se puede revocar.
Token de sesión del panel (JWT)
Para gestionar su cuenta, sus claves y la facturación desde el panel.
Los métodos de procesamiento (/v1/jobs*) aceptan tanto una API key como un JWT. Todos los métodos de gestión (cuenta, claves, facturación) requieren un token de sesión del panel (JWT): no están disponibles con una API key.
Endpoints de gestión de claves
| Método | Endpoint | Propósito |
|---|---|---|
GET | /v1/account/api-keys | listar claves (enmascaradas) |
POST | /v1/account/api-keys | crear una clave; el token completo se devuelve una sola vez |
DELETE | /v1/account/api-keys/{id} | revocar una clave |
Seguridad de las claves
- no ponga claves en código del lado del cliente ni en repositorios públicos;
- si una clave se filtra, revóquela de inmediato y cree una nueva;
- la revocación surte efecto con un retardo de hasta 5 minutos (caché del lado del servidor);
- la clave del proveedor del modelo (BYOK) es un secreto aparte; nunca se almacena en texto plano (solo cifrada) y se elimina junto con la tarea.