Skip to main content
Hace algún tiempo, cambiamos el proceso para obtener un token de Management APIv2. En este artículo se explica qué cambió, por qué se hizo y cómo puede evitarlo (no se recomienda).

Qué cambió y por qué

La experiencia de usuario

Hasta hace poco, se podía generar un token de Management APIv2 directamente desde el API Explorer de . Seleccionaba los alcances según el endpoint que quería invocar y obtenía un token desde esa misma página. Ese método era muy sencillo, pero también muy inseguro. Por eso lo cambiamos. El nuevo método usa el flujo de credenciales de cliente. Para saber cómo usar el nuevo proceso, consulte Tokens de acceso de Management API.

Por qué cambió esto

Para generar el token, la Management API requería acceso a tu global (utilizado para firmar el token). Esta es información que no debería exponerse en navegadores web. Además, el API Explorer no tiene forma de realizar la autorización. Esto significa que, si un usuario pudiera iniciar sesión y acceder al API Explorer, podría generar un token con cualquier scope, incluso si no tuviera permiso para contar con ese scope. La nueva implementación no plantea esos riesgos. Una vez que completes la configuración inicial, puedes obtener un token visitando el o haciendo una simple solicitud POST al endpoint /oauth/token de nuestra Authentication API. Sin embargo, en lo que respecta al proceso manual, entendemos que cambiar de pantalla no siempre ofrece la mejor experiencia de usuario, por lo que estamos buscando formas de hacer que el nuevo flujo sea más intuitivo.

Período de validez

Con el flujo anterior, los tokens no caducaban. Con el nuevo flujo, todos los tokens de Management APIv2 caducan de forma predeterminada a las 24 horas.

Por qué ha cambiado esto

Tener un token que nunca caduca puede ser muy arriesgado si un atacante se hace con él. Si el token caduca en unas pocas horas, el atacante solo dispone de un breve margen de tiempo para acceder a tus recursos protegidos. Para obtener un token, debes seguir únicamente el proceso descrito en Management API Access Tokens.