Scopes
Cada API key tiene asociada una lista de scopes que delimitan qué endpoints puede invocar. El servidor verifica el scope requerido por cada endpoint y devuelve 403 Forbidden si la API key no lo tiene.
Scopes disponibles
| Scope | Endpoints que habilita |
|---|---|
facturas:read | GET /facturas/{clave}, GET /facturas/{clave}/pdf, GET /facturas/{clave}/xml, GET /consecutivos/proximo |
facturas:write | POST /facturas, POST /facturas/{clave}/email |
facturas:anular | DELETE /facturas/{clave} |
Combinaciones recomendadas
| Caso de uso | Scopes |
|---|---|
| Solo emisión | facturas:read, facturas:write |
| Emisión + anulación | facturas:read, facturas:write, facturas:anular |
| Solo consulta (auditoría) | facturas:read |
💡 Principio de menor privilegio: pedí solo los scopes que tu integración realmente necesita. Si más adelante requerís más, podés rotar la API key con scopes ampliados.