Aislamiento de datos
- Todas las consultas están automáticamente limitadas al usuario autenticado
- Los usuarios no pueden acceder a los datos de otros usuarios
- El aislamiento de datos se aplica a nivel de base de datos, no solo en el código de la aplicación
- Cada solicitud de API valida la propiedad antes de devolver resultados
Requisitos de suscripción
- El acceso a la API está limitado a suscriptores de pago
- Los usuarios de nivel gratuito no pueden crear claves API
- Si un suscriptor baja de nivel, las claves existentes dejan de funcionar:
- La creación de claves está bloqueada en el nivel gratuito
- La validación rechaza solicitudes cuando la cuenta ya no está pagada
Higiene de claves API
- Las claves se almacenan como hashes bcrypt
- El texto plano se muestra una vez en la creación
- Los usuarios pueden revocar claves en cualquier momento desde Configuración
- Las marcas de tiempo de último uso ayudan a detectar claves no utilizadas
- Trata los secretos como contraseñas — nunca los comprometas en control de versiones
Seguridad de transporte
Siempre usa HTTPS en producción. El token Bearer no debe registrarse en análisis del lado del cliente ni en URLs compartidas.