Saltar al contenido principal

Métodos de autenticación

AgentWallex admite dos métodos de autenticación:
MétodoEncabezadoCaso de uso
Clave APIX-API-Key: awx_...Integraciones SDK y servidor a servidor
Token Bearer JWTAuthorization: Bearer eyJ...Aplicación web, OAuth y sesiones del panel

Autenticación con clave API

Las claves API son el enfoque recomendado para integraciones del lado del servidor y SDK. Cada clave comienza con el prefijo awx_. 
curl -X GET https://api.agentwallex.com/api/v1/agents \
  -H "X-API-Key: awx_your_api_key"
Nunca exponga su clave API en código del lado del cliente, repositorios públicos o registros. Siempre cárguela desde variables de entorno.

Variables de entorno

Almacene su clave API como una variable de entorno: 
AGENTWALLEX_API_KEY=awx_your_api_key

Autenticación con token Bearer JWT

Para aplicaciones web y flujos OAuth, utilice tokens bearer JWT. Los tokens se obtienen a través del flujo OAuth de Google:
1

Iniciar flujo OAuth

Redirija al usuario al endpoint de OAuth de Google:
GET /auth/google/redirect
2

Manejar callback

Después de la autenticación, Google redirige a su URL de callback con un código de un solo uso:
GET /auth/google/callback
3

Intercambiar por tokens

Intercambie el código de un solo uso por tokens de acceso y actualización:
curl -X POST https://api.agentwallex.com/api/v1/auth/exchange \
  -H "Content-Type: application/json" \
  -d '{"exchange_code": "one_time_code"}'
4

Usar el token de acceso

Incluya el token de acceso en el encabezado Authorization:
curl -X GET https://api.agentwallex.com/api/v1/agents \
  -H "Authorization: Bearer eyJhbGciOi..."

Actualización de tokens

Los tokens de acceso expiran. Use el token de actualización para obtener un nuevo token de acceso: 
curl -X POST https://api.agentwallex.com/api/v1/auth/refresh \
  -H "Content-Type: application/json" \
  -d '{"refresh_token": "your_refresh_token"}'

Cierre de sesión

Invalide la sesión actual: 
curl -X POST https://api.agentwallex.com/api/v1/auth/logout \
  -H "Authorization: Bearer eyJhbGciOi..."

Mejores prácticas de seguridad

Siga estas prácticas para mantener segura su integración.
  • Use variables de entorno — Nunca codifique las claves API directamente en el código fuente.
  • Rote las claves regularmente — Rote las claves API al menos cada 90 días. Consulte Claves API para instrucciones de rotación.
  • Use el alcance mínimo necesario — Cree claves API separadas por entorno (sandbox vs. production).
  • Habilite la lista de IPs permitidas — Disponible en los planes Growth y Enterprise para restringir el acceso a la API a IPs conocidas.
  • Monitoree los registros de auditoría — Revise los eventos de autenticación en el panel o mediante GET /audit-logs.
  • Use sandbox para desarrollo — Nunca pruebe con claves de producción o fondos reales.