Autenticación por API Key
Todos los endpoints de la API de Cotizave requieren autenticación mediante API Key, salvo los públicos explícitamente marcados.
API Keys
Formato
Las API Keys de Cotizave tienen este formato:
- Prefijo:
ctz_live_identifica una clave de Cotizave. Los 38 caracteres del cuerpo son base62 (24 bytes random + 4 bytes de checksum CRC32) que permite detectar typos sin tocar la base de datos.
Cómo autenticarte
Incluye la API Key en el header X-API-Key:
Ejemplos
Gestión de API Keys
Crear una nueva key
Desde el dashboard (app.cotizave.com → API Keys → "Crear nueva key"):
- La key se muestra una sola vez al momento de crearla. Cópiala y guárdala en un lugar seguro.
- Después de cerrar el diálogo, ya no puedes volver a ver la key completa, solo un preview (los últimos 4 caracteres).
Rotar una key
- Crea una nueva key con el mismo nombre
- Actualiza tu aplicación para usar la nueva
- Revoca la key vieja desde el dashboard
Rotar claves regularmente (cada 3–6 meses) es una buena práctica de seguridad.
Revocar una key
La revocación es inmediata e irreversible: todos los requests con esa key devolverán 401 Unauthorized a partir de ese momento.
Múltiples keys por Cuenta
| Plan | Keys simultáneas |
|---|---|
| Free | 1 |
| Pro | 5 |
| A medida | Negociado |
Útil para separar ambientes (producción, staging, desarrollo), separar aplicaciones, equipos o hacer rotación sin downtime.
Seguridad
Nunca expongas tus keys
Nunca hagas esto: poner la key en código JavaScript frontend · subirla a un repositorio público · incluirla en URLs o query strings · enviarla por email, chat o screenshots · hardcodearla en apps mobile.
Haz esto en cambio
Regla general: las API Keys deben vivir solo en el backend. Si tu app es frontend puro, crea un endpoint propio en tu backend que consulte Cotizave y nunca incluyas la API Key en el código del cliente.
Respuestas de autenticación
Key inválida o ausente
Key revocada
Cuenta suspendida
Key válida pero cuota agotada
Ver Rate Limits para más detalles.