Seguridad
Guía de API keys ChefSphere: X-API-Key, scopes y proyectos
Aprende cómo funcionarán las API keys de ChefSphere: clave de proyecto, header X-API-Key, scopes y cobro por llamada. Acceso anticipado.

Modelo Firebase-style: la key es el proyecto
En la plataforma Developers, la API key identifica el proyecto. Envías X-API-Key en cada llamada; ChefSphere resuelve ruta, comprueba scopes y debita tokens prepago. Los usuarios finales de tu app no son la unidad de billing de la plataforma.
Esta guía prepara el modelo mental y de seguridad.
Scopes y principio de mínimo privilegio
Las keys llevan scopes alineados a módulos/operaciones. Una key de solo catálogo no debería poder hacer KYC. Cuando existan keys, rota y segrega entornos (p. ej. desarrollo vs producción) según las prácticas que comuniquemos en onboarding.
Nunca embeds keys en apps móviles sin backend proxy si el abuso te preocupa: trata la key como secreto de servidor.
Metering por llamada
Cada ruta resuelta tiene un coste en tokens. Fallos de auth no deben diseñarse como «gratis para explorar producción»: usa samples y entornos que indiquemos al darte acceso. Lee prepaid-api-tokens y multi-module-token-billing.
Docs públicos muestran OpenAPI de muestra con paths ficticios /v1/sample — no son keys ni hosts finales.
Qué hacer hoy
Solicita early access, lista módulos y si necesitas varios proyectos/entornos. Te emailamos al abrir emisión de keys .
Relacionadas: prepaid-api-tokens, multi-module-token-billing, developer-early-access.
API keys — puntos clave
Proyecto + X-API-Key + scopes + débito de tokens por llamada.
- La key identifica proyecto, no al end-user de tu app.
- Scopes por capacidad; rota y segrega cuando existan entornos.
- Metering prepago por llamada autenticada.
- Emisión de keys solo tras early access.
Preguntas frecuentes
- ¿Puedo generar una key ahora?
- No por acceso anticipado. Solicita acceso anticipado; emitimos keys en onboarding.
- ¿OAuth de usuario final reemplaza la API key?
- Tu app puede tener auth de usuarios propia. La llamada a ChefSphere Developers se autentica con la key de proyecto para billing/scopes de plataforma.
- ¿Qué header uso?
- El modelo documentado en ingeniería de plataforma es X-API-Key (estilo Firebase). Confirmación de naming exacto en docs de onboarding.
- ¿Hay keys de solo lectura?
- El diseño contempla scopes. La granularidad exacta se confirma al emitir keys.