- App ID y Organization ID son identificadores públicos — seguros para usar en código del lado del cliente e inicialización del SDK.
- Las claves API de app y las claves API de organización son secretos privados — guárdalas de forma segura y nunca las expongas en código del lado del cliente.
App ID
El App ID es un UUID (v4) público que identifica tu app de OneSignal. Lo usas para:- Inicializar el SDK (configuración del SDK móvil, configuración del SDK web)
- Realizar solicitudes a la API como Crear mensaje y Crear usuario
Tu App ID es seguro para usar en la inicialización del SDK del lado del cliente. No es un secreto.
Organization ID
El Organization ID (Org ID) es un UUID (v4) que agrupa todas las apps bajo tu plan de facturación. Lo necesitas para APIs a nivel de organización como: Encuéntralo en Organizaciones > Tu organización > Claves e IDs o a través de la API de Ver una app.
Resumen de claves API
OneSignal admite dos tipos de claves API:| Tipo de clave | Alcance | Se usa para |
|---|---|---|
| Clave API de app | App individual | Enviar mensajes, crear usuarios, operaciones a nivel de app |
| Clave API de organización | Organización completa | Crear apps, gestionar claves API, configuración a nivel de organización |
Clave API de app
Usa una Clave API de app para la mayoría de las solicitudes de API REST relacionadas con una app específica. Formato de autenticación: Incluye la clave en el encabezadoAuthorization con el esquema de autenticación key:
Clave API de organización
Usa una Clave API de organización para:- Gestión de apps: Crear apps, Ver apps
- Gestión de claves API de app: Crear clave API, Eliminar clave API, Rotar clave API
Crear claves API
Puedes crear claves API de app y de organización desde el panel.- Las claves API de app también se pueden crear a través de la API de Crear clave API.
- Las claves API de organización solo se pueden crear desde el panel.
- Ve a Claves e IDs (a nivel de app o de organización).
- Haz clic en Agregar clave.
- Ingresa un nombre descriptivo (ejemplo: Servicio de sincronización CRM).
- (Opcional) Configura la lista de permitidos de IP.
- Haz clic en Crear.
- Copia y almacena la clave de forma segura inmediatamente.
Lista de permitidos de IP (opcional pero recomendado)
Puedes restringir el uso de la clave API a direcciones IP específicas.- Ingresa bloques CIDR separados por espacios
- Ejemplo:
192.0.2.0/24 192.0.2.123/32
- Ejemplo:
- Las solicitudes desde IPs no permitidas serán denegadas.
- Servicios backend con IPs estáticas
- Entornos de producción de alta seguridad
Gestión de claves
Después de crear una clave, puedes gestionarla a través de la interfaz de lista de claves:
El ID de clave es una etiqueta de referencia. No es la clave API secreta.
Editar claves API
Puedes:- Actualizar el nombre de la clave
- Modificar la configuración de la lista de permitidos de IP
- Las claves API de app se pueden actualizar a través del panel o la API de Actualizar clave API.
- Las claves API de organización solo se pueden actualizar a través del panel.
Rotar claves API
Rotar una clave:- Genera un nuevo secreto
- Mantiene el mismo nombre y configuración
- Invalida inmediatamente el secreto anterior
- La clave fue expuesta
- Un miembro del equipo con acceso se fue
- Rotación de seguridad rutinaria
- Las claves API de app se pueden rotar a través del panel o la API de Rotar clave API.
- Las claves API de organización solo se pueden rotar a través del panel.
Eliminar claves API
Eliminar una clave:- La elimina permanentemente
- Bloquea inmediatamente el acceso a la API usando esa clave
- Las claves API de app se pueden eliminar a través del panel o la API de Eliminar clave API.
- Las claves API de organización solo se pueden eliminar a través del panel.
Migrar desde claves API heredadas
Introdujimos la gestión enriquecida de claves API el 14 de noviembre de 2024. Pasos de migración- Crea una nueva clave API de app o de organización.
- Reemplaza la clave heredada en tu código.
- Actualiza la URL base de tu API de
https://onesignal.com/api/v1/ahttps://api.onesignal.com. - Deshabilita o elimina la clave heredada en Claves e IDs.
Prueba las solicitudes a la API en un entorno de staging antes de deshabilitar tu clave heredada en producción.
Deshabilitar tu app
Bloquear el acceso a la API:- Elimina o rota las claves API para bloquear inmediatamente el uso de la API REST.
- Ve a Configuración > Gestionar app > Deshabilitar app.
Mejores prácticas de seguridad
- Almacena las claves API en un backend seguro (nunca del lado del cliente).
- Usa variables de entorno o un gestor de secretos.
- Habilita la lista de permitidos de IP cuando sea posible.
- Rota las claves periódicamente.
- Usa claves separadas para staging y producción.
Preguntas frecuentes
¿Cómo encuentro mi clave API?
Ve a Configuración > Claves e IDs en el panel de OneSignal. Copia la Clave REST API (nivel de app) o ve a Organizations > Tu organización > Claves e IDs para la Clave API de organización. La clave solo se muestra una vez después de su creación. Si pierdes la clave, deberás rotarla.¿Puedo recuperar una clave REST API heredada?
No. OneSignal ya no muestra las claves REST API heredadas. Si no puedes encontrar esta clave en tu código, deberás generar y usar una nueva clave API.¿Cuál es la diferencia entre un App ID, una clave REST API y una clave API de organización?
- App ID: Un identificador público para tu app. Se usa en la configuración del SDK y en las solicitudes a la API para especificar la app.
- Clave REST API: Una clave secreta usada para enviar mensajes y gestionar usuarios de una app.
- Clave API de organización: Una clave secreta usada para gestionar apps y configuraciones a nivel de organización en toda tu cuenta.
Páginas relacionadas
Apps y organizaciones deshabilitadas
Gestiona las apps deshabilitadas y comprende las implicaciones de facturación.
Usuarios
Comprende el modelo de usuario de OneSignal y los IDs externos.