Autenticación
Autentica solicitudes a la REST API de Tapeto con una API key o un bearer token de sesión.
La REST API de Tapeto (api.tapeto.dev, ruta base /api/v1) soporta dos métodos de autenticación.
API keys (recomendado para integraciones)
Genera una clave desde tu cuenta (Settings → API Keys → Create). Una clave tiene el formato tk_live_ seguido de 40 caracteres hexadecimales.
curl https://api.tapeto.dev/api/v1/conversions \
-H "x-api-key: tk_live_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
Las claves se muestran una sola vez
La clave completa solo se devuelve en el momento de su creación. Tapeto almacena un hash bcrypt, no la clave en sí — si la pierdes, revócala y crea una nueva.
Comportamiento de las claves:
- Las claves pueden tener una fecha de expiración opcional (
expires_at); las claves caducadas se rechazan. - Cada uso actualiza
last_used_at, así puedes detectar claves sin usar u obsoletas. - Gestiona las claves con:
GET /api/v1/auth/api-keys— lista tus claves (solo el prefijo y los metadatos, nunca la clave completa)POST /api/v1/auth/api-keys— crea una clave ({ name, expires_at?, scopes? })DELETE /api/v1/auth/api-keys/:id— revoca una clave
Bearer tokens (usados por la app web)
La app web de Tapeto se autentica con un token de sesión JWT emitido por InsForge, enviado como un bearer token estándar:
Authorization: Bearer <token>
Este es el mismo mecanismo que usa la propia app web después de iniciar sesión — la mayoría de las integraciones con la API deberían usar una API key en su lugar, ya que no caduca por un timeout de sesión.
Límites de velocidad
Las solicitudes están limitadas por minuto, según tu plan:
| Plan | Solicitudes / minuto |
|---|---|
| Free | 30 |
| Starter | 60 |
| Pro | 120 |
| Agency | 200 |
| Studio | 300 |
Cuando alcanzas el límite, la API responde con 429 y estas cabeceras:
X-RateLimit-Limit
X-RateLimit-Remaining
X-RateLimit-Reset
Siguiente paso
Continúa con la Referencia de endpoints para la API de conversiones y webhooks.