<token> puede ser una API key bxm_ (esta página) o un
access token de OAuth. Usa una API key cuando tú (o tu backend)
accedes a tu propia cuenta. Usa OAuth cuando tu app o un agente actúa a nombre de otro usuario.
Crear una API key
Abre Developers en la app
app.finzaria.com → perfil → Developers.
Crea la key y copia el valor
Elige un nombre (p. ej. “Backend producción”) y un scope
(
read_only o read_write). El valor completo (bxm_…) se
muestra una sola vez — cópialo de inmediato.Usarla
401 con
problem+json:
Rotación sin downtime
Las keys no expiran solas; rótalas periódicamente. Para no cortar el servicio:Buenas prácticas
- Una key por uso (backend, script, integración) — así revocas una sin afectar las demás.
- Mínimo privilegio: si solo lees, usa
read_only. - Rota en un calendario y ante cualquier sospecha de fuga.
- Nunca la pongas en el frontend; ahí va OAuth.