API keys: read_only vs read_write
Al crear una API key eliges su alcance:
| Scope | Puede | No puede |
|---|
read_only | GET / HEAD (leer cuentas, transacciones, reportes…) | Crear, editar o borrar |
read_write | Todo lo de read_only + POST / PATCH / DELETE | — |
Una key read_only que intente escribir recibe 403:
Mínimo privilegio: si tu integración solo lee (un dashboard, un export), usa read_only.
OAuth: acceso a nombre del usuario
Un access token de OAuth actúa como el usuario que autorizó: opera
sobre sus datos con permisos de lectura y escritura, igual que si él usara la app. Durante la
autorización se piden scopes de identidad estándar (openid, profile, email) para saber quién es.
El usuario ve exactamente qué app pide acceso y puede revocarlo cuando quiera.