> ## Documentation Index
> Fetch the complete documentation index at: https://docsnewgen.flexxible.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Autenticación y autorización

La API de Flexxible protege el acceso a sus recursos mediante un modelo de seguridad basado en autenticación y autorización.

La autenticación permite identificar al usuario que realiza la solicitud, mientras que la autorización determina a qué recursos y operaciones puede acceder en función de sus permisos.

<Tip>
  Para aprender a generar una clave de API, autenticarse y realizar la primera solicitud, consulta la guía Primeros pasos.
</Tip>

## Autenticación

La API utiliza un mecanismo de autenticación basado en claves de API (API Keys).

Cada clave de API está asociada a un usuario de Portal y representa su identidad durante las solicitudes realizadas a la API. No es necesario obtener un token de acceso previo ni completar un proceso de autenticación adicional.

### Clave de API

La clave de API es el único mecanismo de autenticación admitido por la plataforma.

Características:

* Debe incluirse en todas las solicitudes.
* Identifica al usuario que realiza la petición.
* Limita el acceso a la organización a la que pertenece el usuario.

## Autorización

El acceso a los recursos de la API está controlado mediante un sistema de autorización basado en roles.

La autorización se aplica en dos niveles:

* **Nivel de endpoint.** Determina qué roles pueden acceder a cada endpoint.
* **Nivel de acción.** Restringe operaciones concretas, como crear, modificar o eliminar recursos, según los permisos del usuario.

<Note>
  El acceso a los recursos depende de los permisos del usuario definidos en Portal. No todos los endpoints están disponibles para todos los roles.
</Note>

## Buenas prácticas

Para proteger las integraciones que utilizan la API, se recomienda:

* Mantener las claves de API en un lugar seguro.
* No compartirlas ni incluirlas en código fuente público.
* Rotar las claves periódicamente.
* Revocar inmediatamente cualquier clave que pueda haberse visto comprometida.
