API Keys
Las API Keys son credenciales que permiten que otras aplicaciones accedan a los datos de tu empresa en TPVReady sin necesidad de iniciar sesión con tu usuario.
Sirven, por ejemplo, para:
- Conectar Whatafarma y enviar WhatsApps a tus clientes desde el chatbot.
- Conectar Zapier, Make o automatizaciones similares.
- Permitir que un programa externo (un script propio, un panel de Power BI…) lea tu catálogo, clientes o facturas.
Compartir tu usuario y contraseña con otra aplicación es inseguro: si esa aplicación se ve comprometida, el atacante tiene acceso total a tu cuenta. Con una API Key:
- Puedes limitar exactamente qué puede hacer (solo leer clientes, por ejemplo).
- Puedes revocarla sin afectar tu acceso personal.
- Puedes ver cuándo se ha usado y desde qué IP.
Acceder a la gestión de API Keys
Esta sección solo está disponible para usuarios con rol administrador.
Ve a Configuración → API Keys desde el menú lateral.
Verás un listado con todas las claves que has generado y los siguientes datos por cada una:
| Campo | Significado |
|---|---|
| Nombre | Etiqueta interna para identificar para qué se usa la clave. |
| Permisos | Qué entidades (clientes, productos, facturas…) y acciones (leer, escribir) puede realizar. |
| Clave | Los primeros 8 caracteres, a modo de identificación. |
| Estado | Activa, Pausada o Revocada. |
| Llamadas | Número total de peticiones realizadas con esa clave. |
| Último uso | Cuándo fue la última vez que se usó. |
Generar una nueva API Key
- Pulsa el botón "Generar nueva" en la parte superior derecha.
- Introduce un nombre identificativo (ej. "Whatafarma producción", "Zapier facturación", "Script de migración").
- Elige los permisos:
- Acceso total: la clave podrá leer y modificar cualquier dato. Recomendado solo para integraciones de máxima confianza o uso interno.
- Permisos personalizados: marca exactamente qué entidades puede ver y/o modificar.
- Pulsa "Generar clave".
⚠️ La clave solo se muestra UNA VEZ
Al generarla, verás un cuadro con la clave completa. Cópiala inmediatamente y guárdala en un lugar seguro (un gestor de contraseñas, por ejemplo). Por seguridad, TPVReady no la volverá a mostrar nunca.
Si pierdes la clave, no podrás recuperarla; tendrás que regenerarla (la antigua dejará de funcionar y la nueva se mostrará una vez).
Permisos disponibles
Cada API Key puede tener permisos granulares por entidad, con dos posibles acciones:
- READ — Leer (listar y ver detalle).
- WRITE — Crear, modificar o eliminar.
Las entidades disponibles son:
- Clientes
- Productos
- Proveedores
- Presupuestos
- Pedidos
- Albaranes
- Facturas
- Compras
- Tickets de soporte
- Proyectos
Ejemplo para Whatafarma
Si vas a conectar Whatafarma para que el chatbot pueda buscar clientes y mostrar el catálogo, los permisos mínimos son:
- ✅ Clientes → READ
- ✅ Productos → READ
- ❌ Todo lo demás → sin permisos
Editar permisos de una clave existente
Si más adelante quieres dar más (o menos) permisos a una integración:
- En la lista, pulsa el icono morado de ajustes (☰).
- Modifica los permisos.
- Pulsa "Guardar permisos".
No es necesario regenerar la clave. La integración seguirá funcionando con la misma clave, pero con los nuevos permisos desde la siguiente llamada.
Regenerar una clave (rotación)
La rotación consiste en cambiar la clave manteniendo todo lo demás: nombre, permisos, etc.
¿Cuándo regenerar?
- Si has perdido la clave y necesitas darla de nuevo a la aplicación que la usa.
- Cada cierto tiempo como buena práctica de seguridad (anualmente, por ejemplo).
- Si sospechas que la clave ha sido vista por alguien que no debía.
Para regenerar:
- Pulsa el icono naranja de actualizar (🔄) en la fila correspondiente.
- Confirma la operación.
- Copia la nueva clave (se muestra una sola vez).
- Actualiza la configuración en la aplicación externa con la nueva clave.
La clave antigua deja de funcionar inmediatamente. Las integraciones que la usen empezarán a fallar hasta que las actualices con la nueva.
Pausar / Reactivar una clave
A diferencia de regenerar, pausar es reversible y no cambia la clave:
- Pulsa el icono verde de toggle (🟢→⚪).
- La clave queda pausada: cualquier petición desde la aplicación externa fallará con error 401.
- Para reactivarla, pulsa de nuevo el mismo botón.
Cuándo usarlo: para deshabilitar temporalmente una integración (por ejemplo, durante una migración) sin perder la clave.
Revocar permanentemente
Revocar elimina la clave de forma definitiva. No se puede deshacer.
- Pulsa el icono rojo de papelera (🗑️).
- Confirma. La clave queda marcada como Revocada y deja de funcionar para siempre.
Cuándo usarlo:
- Cuando ya no vas a usar más esa integración.
- Si estás seguro de que la clave ha sido comprometida (mejor regenerar si quieres mantener la integración).
Buenas prácticas de seguridad
✅ Usa permisos mínimos. Si una integración solo lee, no le des permiso de escritura.
✅ Una clave por integración. No reutilices la misma clave entre Whatafarma, Zapier y tu script personal. Si una se ve comprometida, solo afecta a esa integración.
✅ Nombra las claves con claridad. Es más útil "Whatafarma producción - Junio 2026" que "Clave 1".
✅ Revisa el último uso periódicamente. Si una clave lleva meses sin usarse, probablemente puedas revocarla.
✅ Nunca compartas claves por email o chat sin cifrar. Si tienes que enviárselas a alguien, usa un gestor de contraseñas compartido (1Password, Bitwarden…).
❌ Nunca subas una API Key a GitHub o a un repositorio público. Si lo haces por error, regenérala inmediatamente.
¿Quién hace las peticiones desde fuera?
La documentación técnica para los desarrolladores que integran su aplicación con TPVReady está en una sección aparte:
👉 Documentación para integradores
Si vas a contratar a un desarrollador externo o usar un servicio de terceros, pásale ese enlace junto con la API Key que hayas generado para él.