DocumentacionSeguridad de API keys

Seguridad de API keys

Rotacion, separacion de entornos y sin exposicion en cliente.

Las API keys otorgan acceso programatico a tu tenant. Tratalas como contrasenas con permisos acotados.

Nunca expongas keys en el cliente

EntornoRegla
ProduccionKeys mc_live_ solo en servidores (variables de entorno, gestor de secretos)
Navegador / movilNo incrustes keys live en bundles frontend
DesarrolloKeys mc_test_ tambien en servidor cuando sea posible

Si debes enviar desde el navegador, haz proxy por tu backend (Route Handler, Server Action, BFF). El SDK de MailingCore en el cliente solo es aceptable con keys de prueba muy acotadas y riesgo asumido.

Minimo privilegio

Crea keys separadas por servicio con solo los scopes necesarios:

  • Enviador transaccional → email:send
  • Sync CRM → contacts:read, contacts:write
  • Admin webhooks → webhooks:manage

Ver API keys y scopes.

Procedimiento de rotacion

  1. Crea una key nueva con los mismos scopes (panel o POST /tenants/:id/api-keys).
  2. Despliega el nuevo secreto en todos los entornos (blue/green o rolling).
  3. Verifica trafico (envio de prueba, health check).
  4. Revoca la key antigua: DELETE /tenants/:id/api-keys/:keyId.

Mantén ambas keys un tiempo breve durante la rotacion para evitar caidas.

Almacenamiento

  • Usa el almacen de secretos de tu plataforma (Vercel, AWS Secrets Manager, Vault).
  • Restringe acceso al panel; activa 2FA para admins.
  • Las keys se guardan como hash SHA-256 — no se puede recuperar el texto plano tras la creacion.

Respuesta a incidentes

Si una key se filtra:

  1. Revocala de inmediato en el panel.
  2. Crea sustituto con scopes minimos.
  3. Revisa audit log y GET /emails/logs recientes.
  4. Rota secretos relacionados (webhooks si aplica).

Relacionado