Las API keys le permiten a tu código, scripts o herramientas externas hablar con la API de Zendrhax sin usar credenciales de login.
Quién puede acceder a/api-keys: solo el Propietario del espacio de trabajo. Los Admins del espacio no tienen acceso a esta página. Plan requerido: el plan del espacio debe incluir la featuretenant_api_keys(oapi_access). En planes sin ella, los intentos de crear una key devuelvenfeature_not_available.
Cuotas por plan
El plan de la plataforma topea cuántas API keys activas puede tener un espacio de trabajo al mismo tiempo:
| Plan | API keys activas |
|---|---|
| Free | 1 |
| Starter | 5 |
| Pro | 20 |
| Enterprise | ilimitadas |
Siempre podés revocar una key para liberar un slot.
Crear una key
- Iniciá sesión como Propietario del espacio.
- Abrí
/api-keys. - Tipeá un nombre ("Integración Zapier", "Dashboard interno", etc.) y hacé clic en Generar.
La key en texto plano se muestra una sola vez en la pantalla siguiente. El formato es sk_ seguido por 64 caracteres hexadecimales. Copiala enseguida — solo guardamos el hash SHA-256, así que no podemos volver a mostrártela. Si la perdés, revocá la key y generá una nueva.
Usar una key
Mandala como header Authorization: Bearer <key> en cada request:
GET /api/invoices HTTP/1.1
Host: app.zendrhax.com
Authorization: Bearer sk_a1b2c3d4e5f6...La key está limitada al espacio de trabajo donde se creó. No puede leer ni modificar data de ningún otro espacio, aunque vos pertenezcas a esos también.
Revocar una key
- Abrí
/api-keys. - Hacé clic en Revocar en la fila de la key que querés deshabilitar.
Una key revocada queda muerta de inmediato — cualquier cosa que la siga usando recibe 401 Unauthorized en su próximo request. Revocar también libera el slot contra tu cuota del plan.
Buenas prácticas de seguridad
- Una key por integración. Si una se filtra, revocás solo esa sin romper las demás.
- Nunca commitees una key a un repo público. GitHub auto-escanea por secrets, pero una key filtrada es una key filtrada.
- Rotá keys cuando se vaya un empleado con acceso. Igual que las contraseñas.
- Usá los headers de rate-limit que devuelve la API para hacer back-off antes de disparar el limiter.