Tokens con alcance: mejores prácticas

Los tokens con ámbito solo permiten el acceso a lo necesario, reduciendo el riesgo si las credenciales se ven comprometidas.

Establece permisos específicos para lo que cada token puede hacer con APIs concretas.

Racionaliza la supervisión de tokens, especialmente cuando trabajas con varios equipos o socios externos.

Obtén visibilidad del uso de tokens para comprender mejor el tráfico de la API y gestionar los límites de tasas de forma efectiva.

Crea, gestiona y revoca tokens fácilmente sin interrumpir otras integraciones.

Define los ámbitos seleccionando únicamente las APIs y métodos HTTP específicos, como GET, POST, PUT, DELETE que tu integración realmente requiere. Si tu integración solo necesita recuperar datos, concede acceso a la API usando únicamente el método GET.

Empieza siempre con el nivel mínimo de acceso necesario y solo añade más permisos si es absolutamente necesario. Evita habilitar los métodos POST, PUT o DELETE a menos que tu integración los requiera explícitamente.

Asigna a cada token un nombre claro y significativo, e incluye una descripción detallada. Esto ayuda a tu equipo a gestionar, entender y auditar el uso de los tokens de forma más efectiva.

Asegúrate de que cada token tenga un contacto técnico designado. Esta persona será responsable de recibir actualizaciones importantes, alertas o notificaciones relacionadas con el acceso a la API y el rendimiento de la integración.

Asegúrate de que el token esté alineado con la versión de la API para la que está diseñada tu integración. Esto ayuda a mantener la compatibilidad y evita errores inesperados.

Habitúate a revisar cómo se están utilizando tus tokens. Puedes hacerlo configurando un panel para rastrear la actividad de los tokens o solicitando a impact.com detalles de uso. Además, toma nota de los errores frecuentes en tu integración.

Los tokens que tienen más permisos de los necesarios pueden ser peligrosos si alguna vez se exponen. Para evitarlo, compara lo que un token puede hacer con lo que realmente está haciendo. Si tiene acceso que no necesita, elimínalo.

Cambia las credenciales de los tokens regularmente para ayudar a mantener tu sistema seguro. Intenta actualizar tus tokens cada pocos meses: una vez por trimestre es una buena regla. Cuando crees un token nuevo, asegúrate de actualizar tus integraciones para usar el nuevo.

Asigna a cada token un nombre y una descripción que expliquen para qué sirve el token y quién es su propietario. Incluye detalles como la aplicación o sistema que lo usa, su propósito y si es para pruebas o uso en producción. Además, asigna una persona de tu equipo como contacto principal para cada token en caso de cualquier problema.

Los tokens antiguos o no usados pueden crear riesgos de seguridad. Planifica limpiezas periódicas—una vez al mes o por trimestre—para revisar todos los tokens. Elimina o desactiva los tokens que ya no sean necesarios.

No. Las integraciones existentes que usan tokens heredados seguirán funcionando. Sin embargo, recomendamos la transición a tokens de acceso API con ámbito para mejorar la seguridad y la gestión.

Tokens heredados son un tipo más antiguo de token de acceso que precedió a tokens con ámbito. Los tokens con ámbito estuvieron disponibles en impact.com después de mayo de 2025.

Cada cuenta puede tener hasta 20 tokens con ámbito activos. Los tokens pueden desactivarse o eliminarse según sea necesario.

Los tokens desactivados se les denegará el acceso y devolverán una respuesta 403 "Access Denied". Esto permite una suspensión temporal sin eliminar el token.

Si realizas una solicitud a una API sin un token de acceso con ámbito válido, verás una respuesta 403 “Access Denied”.

No, la funcionalidad de eliminación borra permanentemente el token de acceso y cualquier permiso asignado. Si eliminaste el token por error, podrás crear uno nuevo y seleccionar los ámbitos. Las integraciones existentes deberán actualizarse para usar las nuevas credenciales de token de acceso.