La API de Firma utiliza dos métodos de autenticación: autenticación con clave API para solicitudes de servidor a servidor, y tokens JWT para incrustar los editores de plantillas y de solicitudes de firma en tu aplicación.
Tu clave API autentica tus solicitudes y determina a qué recursos del espacio de trabajo puedes acceder. Cada espacio de trabajo tiene su propia clave API única, que puedes obtener a través del endpoint Get Workspace.Espacio de trabajo protegido: cada cuenta de empresa tiene un espacio de trabajo protegido que no se puede eliminar. Este espacio de trabajo protegido contiene la clave API principal de tu cuenta, la cual tiene acceso a todos los endpoints de espacios de trabajo, claves API, empresa/cuenta y webhooks. Usa esta clave para operaciones a nivel de cuenta o cuando necesites gestionar varios espacios de trabajo.
Cada espacio de trabajo tiene dos claves API: una clave live y una clave test. El modo de prueba se determina según la clave que envíes; no existe un indicador o parámetro independiente.
Las solicitudes autenticadas con la clave testno consumen créditos, y cualquier solicitud de firma que creen se marca como de prueba y lleva marca de agua.
Las solicitudes autenticadas con la clave live se ejecutan normalmente y consumen créditos.
Ambas claves se devuelven al crear un espacio de trabajo (api_key = live, test_api_key = test) y mediante los endpoints Get Workspace y List Workspaces. Usa la clave test mientras integras y luego cambia a la clave live para producción.Puedes rotar cada tipo de clave de forma independiente: pasa key_type ("live" o "test", por defecto "live") a los endpoints de regenerar y expirar. Rotar un tipo no afecta al otro.
Las claves test son credenciales completas con el mismo alcance de acceso que las claves live; guárdalas en el servidor y nunca las expongas en código de cliente. La única diferencia está en el comportamiento de facturación y marca de agua.
Puedes regenerar claves API para espacios de trabajo no protegidos para mejorar la seguridad. Al regenerar una clave:
Se crea inmediatamente una nueva clave API y se devuelve en la respuesta
Las claves antiguas se marcan para expirar en 24 horas: siguen funcionando durante este periodo de gracia
Puedes expirar manualmente las claves antiguas antes de tiempo una vez que hayas verificado que la nueva clave funciona
Las claves de espacios de trabajo protegidos no se pueden regenerar mediante la API. Esto evita bloqueos accidentales de tu cuenta. Contacta con soporte si necesitas rotar la clave de tu espacio de trabajo protegido.
Llama al endpoint de regeneración para obtener una nueva clave
Actualiza la configuración de tu aplicación con la nueva clave
Comprueba que la nueva clave funciona correctamente
Llama al endpoint de expiración para invalidar inmediatamente las claves antiguas
Monitorea si hay errores que indiquen que algún servicio todavía usa la clave antigua
Nunca expongas tu clave API en código frontend ni en aplicaciones del lado del cliente. Las claves API solo deben usarse en servicios backend seguros. Guárdalas siempre como variables de entorno.
Los tokens JWT (JSON Web Token) te permiten incrustar el editor de plantillas y el editor de solicitudes de firma de Firma directamente en tu aplicación. Estos tokens están firmados con RSA-256 y tienen un tiempo de vida limitado por seguridad.
Incrustar el editor de plantillas en tu aplicación para que los usuarios creen o editen plantillas de documentos
Incrustar el editor de solicitudes de firma para que los usuarios personalicen documentos antes de enviarlos
Proporcionar acceso seguro y de tiempo limitado a plantillas o solicitudes de firma específicas
Controlar a qué recursos pueden acceder los usuarios sin exponer tu clave API
Los tokens JWT siempre deben generarse desde tu backend seguro, nunca desde código frontend. Tu backend usa la clave API para generar los tokens, que luego se pasan al frontend para inicializar el editor.