Skip to main content

API keys: read_only vs read_write

Al crear una API key eliges su alcance:
ScopePuedeNo puede
read_onlyGET / HEAD (leer cuentas, transacciones, reportes…)Crear, editar o borrar
read_writeTodo lo de read_only + POST / PATCH / DELETE
Una key read_only que intente escribir recibe 403:
Mínimo privilegio: si tu integración solo lee (un dashboard, un export), usa read_only.

OAuth: acceso a nombre del usuario

Un access token de OAuth actúa como el usuario que autorizó: opera sobre sus datos con permisos de lectura y escritura, igual que si él usara la app. Durante la autorización se piden scopes de identidad estándar (openid, profile, email) para saber quién es. El usuario ve exactamente qué app pide acceso y puede revocarlo cuando quiera.