Saltar al contenido principal
Tu cuenta de OneSignal incluye IDs públicos y claves API privadas.
  • Usa los IDs (como el App ID) para configurar SDKs y hacer referencia a apps.
  • Usa las claves API para autenticar solicitudes seguras a la API REST.
Esta guía explica qué hace cada clave, dónde encontrarla y cómo gestionarla de forma segura.

App ID

El App ID es un UUID (v4) público que identifica tu app de OneSignal. Lo usas para:
  • Inicializar el SDK (configuración del SDK móvil, configuración del SDK web)
  • Realizar solicitudes a la API como Crear mensaje y Crear usuario
Encuentra tu App ID en el panel en Configuración > Claves e IDs o a través de la API de Ver apps.
Página de Claves e IDs del panel de OneSignal mostrando la ubicación del App ID.

Tu App ID es seguro para usar en la inicialización del SDK del lado del cliente. No es un secreto.

Organization ID

El Organization ID (Org ID) es un UUID (v4) que agrupa todas las apps bajo tu plan de facturación. Lo necesitas para APIs a nivel de organización como: Encuéntralo en Organizaciones > Tu organización > Claves e IDs o a través de la API de Ver una app.
Panel de OneSignal mostrando el Organization ID en Claves e IDs.

Resumen de claves API

OneSignal admite dos tipos de claves API:
Tipo de claveAlcanceSe usa para
Clave API de appApp individualEnviar mensajes, crear usuarios, operaciones a nivel de app
Clave API de organizaciónOrganización completaCrear apps, gestionar claves API, configuración a nivel de organización
Puedes crear hasta 16 claves API y configurar la lista de permitidos de IP.
Ambas son secretos privados y deben almacenarse de forma segura.

Clave API de app

Usa una Clave API de app para la mayoría de las solicitudes de API REST relacionadas con una app específica. Formato de autenticación: Incluye la clave en el encabezado Authorization con el esquema de autenticación key: 
Authorization: key YOUR_REST_API_KEY
Puedes crear claves API de app en Configuración de la app > Claves e IDs o a través de la API de Crear clave API.
Trata las claves API de app como contraseñas.
  • Nunca las expongas en código del lado del cliente, ya sea móvil o web.
  • Nunca las subas a repositorios públicos (como GitHub).
  • Almacénalas en un backend seguro o en un gestor de secretos.

Clave API de organización

Usa una Clave API de organización para: Créala en el panel de OneSignal en Organizaciones > Tu organización > Claves e IDs
Al igual que con las claves API de app, puedes configurar hasta 16 claves de organización e incluir configuración de lista de permitidos de IP.

Crear claves API

Puedes crear claves API de app y de organización desde el panel.
  • Las claves API de app también se pueden crear a través de la API de Crear clave API.
  • Las claves API de organización solo se pueden crear desde el panel.
Crear una clave:
  1. Ve a Claves e IDs (a nivel de app o de organización).
  2. Haz clic en Agregar clave.
Modal para crear una nueva clave API en el panel de OneSignal.
  1. Ingresa un nombre descriptivo (ejemplo: Servicio de sincronización CRM).
  2. (Opcional) Configura la lista de permitidos de IP.
  3. Haz clic en Crear.
  4. Copia y almacena la clave de forma segura inmediatamente.
Las claves API se muestran solo una vez. Si pierdes la clave, deberás rotarla.

Lista de permitidos de IP (opcional pero recomendado)

Puedes restringir el uso de la clave API a direcciones IP específicas.
  • Ingresa bloques CIDR separados por espacios
    • Ejemplo: 192.0.2.0/24 192.0.2.123/32
  • Las solicitudes desde IPs no permitidas serán denegadas.
Usa la lista de permitidos de IP para:
  • Servicios backend con IPs estáticas
  • Entornos de producción de alta seguridad
Campo de configuración de lista de permitidos de IP en el modal de creación de clave API.

Gestión de claves

Después de crear una clave, puedes gestionarla a través de la interfaz de lista de claves:
Lista de claves API en el panel de OneSignal mostrando nombres e IDs de claves.
El ID de clave es una etiqueta de referencia. No es la clave API secreta.

Editar claves API

Puedes:
  • Actualizar el nombre de la clave
  • Modificar la configuración de la lista de permitidos de IP
La edición no cambia el valor del secreto. No se requieren cambios en la integración.
  • Las claves API de app se pueden actualizar a través del panel o la API de Actualizar clave API.
  • Las claves API de organización solo se pueden actualizar a través del panel.

Rotar claves API

Rotar una clave:
  • Genera un nuevo secreto
  • Mantiene el mismo nombre y configuración
  • Invalida inmediatamente el secreto anterior
Cuándo rotar:
  • La clave fue expuesta
  • Un miembro del equipo con acceso se fue
  • Rotación de seguridad rutinaria
Después de rotar una clave, actualiza todos los servicios que la utilicen. Las solicitudes con la clave antigua fallarán.
  • Las claves API de app se pueden rotar a través del panel o la API de Rotar clave API.
  • Las claves API de organización solo se pueden rotar a través del panel.

Eliminar claves API

Eliminar una clave:
  • La elimina permanentemente
  • Bloquea inmediatamente el acceso a la API usando esa clave
Usa la eliminación cuando una clave ya no sea necesaria.
  • Las claves API de app se pueden eliminar a través del panel o la API de Eliminar clave API.
  • Las claves API de organización solo se pueden eliminar a través del panel.

Migrar desde claves API heredadas

Introdujimos la gestión enriquecida de claves API el 14 de noviembre de 2024. Pasos de migración
  1. Crea una nueva clave API de app o de organización.
  2. Reemplaza la clave heredada en tu código.
  3. Actualiza la URL base de tu API a:
https://api.onesignal.com
En lugar de: 
https://onesignal.com/api/v1/
  1. Deshabilita o elimina la clave heredada en Claves e IDs.
Prueba las solicitudes a la API en un entorno de staging antes de deshabilitar tu clave heredada en producción.

Deshabilitar tu app

Bloquear el acceso a la API:
  • Elimina o rota las claves API para bloquear inmediatamente el uso de la API REST.
Deshabilitar el envío de mensajes:
  • Ve a Configuración > Gestionar app > Deshabilitar app.
Consulta Apps y organizaciones deshabilitadas para más detalles.
Deshabilitar una app no detiene la facturación. Los Usuarios Activos Mensuales (MAU) de apps deshabilitadas aún se cuentan para la facturación.Para detener la facturación, elimina la app o muévela a una Organización Gratuita.Contacta a support@onesignal.com para obtener asistencia.

Mejores prácticas de seguridad

  • Almacena las claves API en un backend seguro (nunca del lado del cliente).
  • Usa variables de entorno o un gestor de secretos.
  • Habilita la lista de permitidos de IP cuando sea posible.
  • Rota las claves periódicamente.
  • Usa claves separadas para staging y producción.