DocumentacionSeguridad de API keys
Seguridad de API keys
Rotacion, separacion de entornos y sin exposicion en cliente.
Las API keys otorgan acceso programatico a tu tenant. Tratalas como contrasenas con permisos acotados.
Nunca expongas keys en el cliente
| Entorno | Regla |
|---|---|
| Produccion | Keys mc_live_ solo en servidores (variables de entorno, gestor de secretos) |
| Navegador / movil | No incrustes keys live en bundles frontend |
| Desarrollo | Keys mc_test_ tambien en servidor cuando sea posible |
Si debes enviar desde el navegador, haz proxy por tu backend (Route Handler, Server Action, BFF). El SDK de MailingCore en el cliente solo es aceptable con keys de prueba muy acotadas y riesgo asumido.
Minimo privilegio
Crea keys separadas por servicio con solo los scopes necesarios:
- Enviador transaccional →
email:send - Sync CRM →
contacts:read,contacts:write - Admin webhooks →
webhooks:manage
Ver API keys y scopes.
Procedimiento de rotacion
- Crea una key nueva con los mismos scopes (panel o
POST /tenants/:id/api-keys). - Despliega el nuevo secreto en todos los entornos (blue/green o rolling).
- Verifica trafico (envio de prueba, health check).
- Revoca la key antigua:
DELETE /tenants/:id/api-keys/:keyId.
Mantén ambas keys un tiempo breve durante la rotacion para evitar caidas.
Almacenamiento
- Usa el almacen de secretos de tu plataforma (Vercel, AWS Secrets Manager, Vault).
- Restringe acceso al panel; activa 2FA para admins.
- Las keys se guardan como hash SHA-256 — no se puede recuperar el texto plano tras la creacion.
Respuesta a incidentes
Si una key se filtra:
- Revocala de inmediato en el panel.
- Crea sustituto con scopes minimos.
- Revisa audit log y
GET /emails/logsrecientes. - Rota secretos relacionados (webhooks si aplica).
Relacionado
- Autenticacion
- Multi-tenant — envia siempre
X-Tenant-Id