> ## Documentation Index
> Fetch the complete documentation index at: https://docs.finzaria.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Scopes y permisos

> Qué puede hacer cada tipo de credencial en la API de Finzaria.

## API keys: `read_only` vs `read_write`

Al crear una [API key](/guias/autenticacion/api-keys) eliges su alcance:

| Scope        | Puede                                                    | No puede               |
| ------------ | -------------------------------------------------------- | ---------------------- |
| `read_only`  | `GET` / `HEAD` (leer cuentas, transacciones, reportes…)  | Crear, editar o borrar |
| `read_write` | Todo lo de `read_only` **+** `POST` / `PATCH` / `DELETE` | —                      |

Una key `read_only` que intente escribir recibe `403`:

```json theme={null}
{
  "title": "Forbidden",
  "status": 403,
  "detail": "Esta API key es de sólo lectura; usa una con scope read_write",
  "code": "API_KEY_READ_ONLY"
}
```

<Tip>**Mínimo privilegio:** si tu integración solo lee (un dashboard, un export), usa `read_only`.</Tip>

## OAuth: acceso a nombre del usuario

Un [access token de OAuth](/guias/autenticacion/oauth) actúa **como el usuario que autorizó**: opera
sobre *sus* datos con permisos de lectura y escritura, igual que si él usara la app. Durante la
autorización se piden scopes de identidad estándar (`openid`, `profile`, `email`) para saber quién es.

El usuario ve exactamente qué app pide acceso y puede **revocarlo** cuando quiera.
