Autenticación

Cada solicitud a la API pasa un token en la cabecera:

Authorization: Bearer <token>

Hay dos tipos de acceso:

API key de hotdoc

Para el acceso programático al procesamiento de documentos. Formato del token: hotdoc_<id>.<secret>. Se crea en el panel; el token completo se muestra una sola vez, tras lo cual solo se conserva una versión enmascarada (hotdoc_<id>). Una clave tiene una caducidad opcional (expiresAt; sin ella, la clave no caduca nunca) y una marca de tiempo de último uso (lastUsedAt); una clave se puede revocar.

Token de sesión del panel (JWT)

Para gestionar su cuenta, sus claves y la facturación desde el panel.

Los métodos de procesamiento (/v1/jobs*) aceptan tanto una API key como un JWT. Todos los métodos de gestión (cuenta, claves, facturación) requieren un token de sesión del panel (JWT): no están disponibles con una API key.

Endpoints de gestión de claves

MétodoEndpointPropósito
GET/v1/account/api-keyslistar claves (enmascaradas)
POST/v1/account/api-keyscrear una clave; el token completo se devuelve una sola vez
DELETE/v1/account/api-keys/{id}revocar una clave

Seguridad de las claves

  • no ponga claves en código del lado del cliente ni en repositorios públicos;
  • si una clave se filtra, revóquela de inmediato y cree una nueva;
  • la revocación surte efecto con un retardo de hasta 5 minutos (caché del lado del servidor);
  • la clave del proveedor del modelo (BYOK) es un secreto aparte; nunca se almacena en texto plano (solo cifrada) y se elimina junto con la tarea.