Autenticación en la API

Introducción

La API de concursos.top utiliza autenticación basada en API Keys para identificar y autorizar las solicitudes. Este método es sencillo de implementar y seguro para integraciones servidor-a-servidor.

Obtener tu API Key

1. Inicia sesión en tu panel de usuario.
2. Ve a Configuración → API.
3. Haz clic en Generar nueva API Key.
4. Copia la clave generada y guárdala en un lugar seguro.

Autenticación en las solicitudes

Incluye tu API Key en la cabecera Authorization de cada solicitud HTTP usando el esquema Bearer:

GET /api/v1/licitaciones HTTP/1.1
Host: concursos.top
Authorization: Bearer tu_api_key_aqui
Content-Type: application/json

Ejemplo con cURL

curl -X GET "https://concursos.top/api/v1/licitaciones" \
  -H "Authorization: Bearer sk_live_abc123def456" \
  -H "Content-Type: application/json"

Ejemplo con PHP

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, 'https://concursos.top/api/v1/licitaciones');
curl_setopt($ch, CURLOPT_HTTPHEADER, [
    'Authorization: Bearer sk_live_abc123def456',
    'Content-Type: application/json'
]);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$response = curl_exec($ch);
curl_close($ch);

$data = json_decode($response, true);

Ejemplo con JavaScript (fetch)

const response = await fetch('https://concursos.top/api/v1/licitaciones', {
    headers: {
        'Authorization': 'Bearer sk_live_abc123def456',
        'Content-Type': 'application/json'
    }
});
const data = await response.json();

Tipos de API Keys

Existen dos tipos de claves:

• Claves de prueba (sk_test_...): Para desarrollo y pruebas. No acceden a datos reales.
• Claves de producción (sk_live_...): Para uso en producción con datos reales.

Respuestas de error de autenticación

Si la autenticación falla, recibirás una de estas respuestas:

401 - No autorizado

{
    "success": false,
    "error": "API Key no válida o no proporcionada",
    "code": "AUTH_INVALID_KEY"
}

403 - Plan insuficiente

{
    "success": false,
    "error": "Tu plan no incluye acceso a la API",
    "code": "AUTH_PLAN_INSUFFICIENT"
}

429 - Demasiadas solicitudes

{
    "success": false,
    "error": "Has superado el límite de solicitudes",
    "code": "RATE_LIMIT_EXCEEDED"
}

Buenas prácticas de seguridad

• No expongas tu API Key en código del lado del cliente (JavaScript en el navegador).
• Usa variables de entorno para almacenar la clave en tu servidor.
• Rota las claves periódicamente desde el panel de configuración.
• Usa HTTPS siempre. Las solicitudes por HTTP serán rechazadas.
• Limita los permisos: si solo necesitas lectura, genera una clave de solo lectura.

Revocar una API Key

Si sospechas que tu clave ha sido comprometida:

1. Ve a Configuración → API en tu panel.
2. Localiza la clave afectada.
3. Haz clic en Revocar.
4. Genera una nueva clave y actualiza tus integraciones.