Saltar al contenido principal
DiffHook/Documentos
Referencia de la APIAutenticación

Autenticación

DiffHook utiliza credenciales de cliente OAuth 2.0 para autenticar solicitudes de API. Intercambia una clave API por un token al portador de corta duración y luego envía ese token en cada solicitud.

Paso 1: obtenga su clave API

Vaya a Aplicación → Configuración → Claves API y cree una clave. Recibirás dos valores:

  • ID de cliente (client_id): identificador público. Empieza con dh_live_ y continúa con un sufijo aleatorio (caracteres seguros para URL).
  • Secreto de cliente (client_secret): solo secreto privado.

Paso 2: Solicite un token al portador

Cambie sus credenciales por un token llamando a POST /api/oauth/token con un cuerpo codificado en forma:

Los tokens son válidos por 24 horas. Solicite uno nuevo antes de que caduque el actual.

Paso 3: utiliza el token al portador

Pase access_token en el encabezado Authorization en cada llamada API:

curl https://www.diffhook.com/api/monitors \
  -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."

Respuestas de error

Encabezado Authorization faltante o con formato incorrecto (401):

{ "error": "Authorization header missing or invalid" }

Token caducado o manipulado: vuelva a autenticarse para obtener uno nuevo (401):

{ "error": "Invalid or expired token" }

Las credenciales incorrectas en el punto final del token devuelven un cuerpo de error de OAuth (401):

{
  "error": "invalid_client",
  "error_description": "Invalid client credentials"
}

Mejores prácticas de seguridad

  • Nunca envíe su client_secret al control de fuente
  • Almacenar credenciales en variables de entorno (DIFFHOOK_CLIENT_ID, DIFFHOOK_CLIENT_SECRET)
  • Los tokens caducan después de 24 horas: incorpore la reautenticación automática en su integración
  • Rote las claves inmediatamente si se filtra una: revoque la clave anterior en Configuración y genere una nueva.

Rotación de claves

Para rotar sin tiempo de inactividad:

  1. Genere una nueva clave en Configuración → Claves API
  2. Solicite un token con las nuevas credenciales e implemente su aplicación con él
  3. Revocar la clave anterior una vez que el tráfico haya cambiado por completo
DiffHook - Monitorizacion de sitios web