# Claves de API Utiliza las claves de API para autenticar las solicitudes de API. Stripe autentica tus solicitudes de API con las claves de API de tu cuenta. Si una solicitud no incluye una clave válida, Stripe muestra un [error de solicitud no válida](https://docs.stripe.com/error-handling.md#invalid-request-errors). Si una solicitud incluye una clave eliminada o vencida, Stripe muestra un [error de autenticación](https://docs.stripe.com/error-handling.md#authentication-errors). Usa el [Dashboard para desarrolladores](https://dashboard.stripe.com/test/apikeys) con el fin de crear, revelar, eliminar y rotar claves API. Puedes acceder a tus claves API v1 en la pestaña [Claves API](https://dashboard.stripe.com/test/apikeys). > #### ¿Nuevo en Stripe? > > - **¿Cómo crear y probar?** Usa tus **claves de entorno de prueba (modo de prueba)**. Las claves de entorno de prueba comienzan con `pk_test_` (publicables) y `sk_test_` (secretas). Te permiten probar sin afectar los datos activos. - **¿Todo listo para aceptar pagos reales?** Cambia a tus **claves de modo activo**, que comienzan con `pk_live_` y `sk_live_`. Consulta [Cómo cambiar a modo activo](https://docs.stripe.com/keys.md#switch-to-live-mode) para obtener instrucciones. - **¿Buscas tu secreto de firma de webhook?** Los secretos de webhook son diferentes de las claves de API. Búscalos en la sección [Webhooks](https://dashboard.stripe.com/webhooks) del Dashboard debajo de cada punto de conexión de webhook. ## Tipos de claves De forma predeterminada, todas las cuentas tienen un total de cuatro claves API: | Tipo | Descripción | | -------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Clave secreta de entorno de pruebas | Autentica solicitudes en tu servidor cuando estás haciendo pruebas en un entorno de pruebas. De forma predeterminada, puedes usar esta clave para realizar cualquier solicitud API sin restricciones. Reserva esta clave para pruebas y desarrollo a fin de asegurarte de no modificar accidentalmente tus clientes o cargos activos. | | Clave publicable de entorno de pruebas | Prueba las solicitudes en el código del lado del cliente de tu aplicación web o móvil. Reserva esta clave para pruebas y desarrollo a fin de asegurarte de no modificar accidentalmente tus clientes o cargos activos. | | Clave secreta modo activo | Autentica solicitudes en tu servidor cuando esté en modo activo. De forma predeterminada, puedes usar esta clave para realizar cualquier solicitud de API sin restricciones. | | Clave publicable modo activo | Cuando estés listo para lanzar tu aplicación, usa esta clave en el código del lado del cliente de tu aplicación web o móvil. | Tus claves secretas y publicables están en la pestaña [Claves API](https://dashboard.stripe.com/test/apikeys) del Dashboard. Si no puedes ver tus claves API, pídele al titular de tu cuenta de Stripe que te agregue a su [equipo](https://docs.stripe.com/get-started/account/teams.md) con los permisos adecuados. > #### Claves de API restringidas > > Puedes generar [claves de API restringidas](https://docs.stripe.com/keys-best-practices.md#limit-access) en el Dashboard para habilitar un acceso limitado y personalizable a la API. Sin embargo, Stripe no ofrece ninguna clave restringida de forma predeterminada. > #### ¿Buscas tu secreto de firma de webhook? > > Los secretos de firma de webhook no son claves de API. Puedes buscar el secreto de firma para cada punto de conexión de webhook en la sección [Webhooks](https://dashboard.stripe.com/webhooks) del Dashboard. Selecciona un punto de conexión y amplía la sección **Secreto de firma**. Si iniciaste sesión en Stripe, nuestra documentación completa los ejemplos de código con tus claves API de prueba. Solo tú puedes ver estos valores. Si no iniciaste sesión, nuestros ejemplos de código incluyen claves API generadas aleatoriamente que puedes reemplazar con tus claves de prueba. O puedes iniciar sesión para ver los ejemplos de código completados con tus claves API de prueba. > #### Protege tus claves API de prueba > > No introduzcas ninguna clave en el código. Almacena las claves API de prueba en una bóveda de secretos en lugar de codificarlas en tu código. Puedes usar [variables de entorno](https://docs.stripe.com/keys-best-practices.md#set-an-api-key-as-an-environment-variable) para ejecutar ejemplos de código. Luego, puedes ejecutar, confirmar y compartir ejemplos de código sin exponer tu clave API. ### Ejemplos de claves API La siguiente tabla muestra ejemplos generados aleatoriamente de claves secretas y publicables: | Tipo | Valor | Cuándo usar | | ------------ | -------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | | Secretas | `sk_test_BQokikJOvBiI2HlWgH4olfQ2` | **Solo el lado del servidor.** Usa esta clave en tu código de back-end (por ejemplo, en una variable de entorno) para hacer llamadas API a Stripe. Mantenla en privado: nunca la compartas, la comprometas al control de fuente ni la expongas en un navegador o una aplicación móvil. Cualquier persona con esta clave puede hacer llamadas API como tu cuenta. | | Publicables | `pk_test_TYooMQauvdEDq54NiTphI7jx` | **Lado del cliente (navegador o aplicación móvil).** Usa esta clave en tu código front-end para recopilar datos de pago con herramientas como [Stripe Elements](https://docs.stripe.com/payments/elements.md) o [Stripe Checkout](https://docs.stripe.com/payments/checkout.md). Esta clave puede ser pública. | | Restringidas | Una cadena que comienza con `rk_test_` | **Solo el lado del servidor, con permisos limitados.** Como una clave secreta, pero tú eliges exactamente a qué recursos de la API de Stripe puede acceder. Usa claves restringidas en lugar de claves secretas cuando quieras limitar lo que puede hacer un sistema o un tercero. Consulta las [claves de API restringidas](https://docs.stripe.com/keys-best-practices.md#limit-access). | ### Protege tus claves Todas las personas pueden usar tu clave secreta en el modo activo para realizar una llamada API en nombre de tu cuenta, por ejemplo, al momento de aceptar pagos o realizar un reembolso. Mantén tus claves seguras con estas prácticas recomendadas: - Almacena las claves secretas en una bóveda de secretos o en variables de entorno cifradas. No las almacenes en código de origen ni en archivos de configuración registrados en el control de versiones. - Utiliza [claves API restringidas](https://docs.stripe.com/keys.md#create-restricted-api-secret-key) en lugar de claves secretas siempre que sea posible. Las claves restringidas limitan el acceso solo a los recursos específicos de la API que tu integración necesita, lo que reduce el impacto que se genera a partir de una clave comprometida. - [Limita las claves a direcciones IP específicas](https://docs.stripe.com/keys.md#limit-api-secret-keys-ip-address) para que solo se puedan usar desde tus servidores conocidos. - [Cambia las claves](https://docs.stripe.com/keys.md#rolling-keys) cuando los miembros del equipo con acceso a ellas abandonen tu organización. - No compartas claves por correo electrónico, chat u otros canales sin cifrar. Para obtener más detalles, consulta las [prácticas recomendadas para gestionar claves API secretas](https://docs.stripe.com/keys-best-practices.md). ## Comparación entre el entorno de prueba y el modo activo Todas las solicitudes API de Stripe se realizan en el *entorno de prueba* (A sandbox is an isolated test environment that allows you to test Stripe functionality in your account without affecting your live integration. Use sandboxes to safely experiment with new features and changes) o en el *modo activo* (Use this mode when you’re ready to launch your app. Card networks or payment providers process payments). Usa el entorno de prueba para acceder a los datos de prueba y el modo activo con el fin de acceder a los datos de la cuenta real. Cada modo tiene su propio conjunto de claves API. Los objetos en un modo no son accesibles en el otro. Por ejemplo, un [objeto producto](https://docs.stripe.com/api/products/object.md) del entorno de prueba no puede formar parte de un pago en modo activo. | Modo | Prefijo de la clave | Propósito | | -------------------------- | ---------------------- | --------------------------------------------------------------------------- | | Entorno de prueba (prueba) | `pk_test_`, `sk_test_` | Crea y prueba tu integración de forma segura. No se realizan cargos reales. | | Activo | `pk_live_`, `sk_live_` | Acepta pagos reales de clientes reales. | > #### Acceso a las claves en modo activo > > Solo puedes revelar una clave de API secreta o restringida en el modo activo una vez. Si la pierdes, no puedes recuperarla desde el Dashboard. En ese caso, cámbiala o elimínala y crea una nueva. | Tipo | Cuándo usar | Objetos | Cómo usar | Consideraciones | | ------------------ | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Entornos de prueba | Usa un entorno de prueba y sus claves de API de prueba asociadas mientras creas tu integración. En el entorno de prueba, las redes de tarjetas y los proveedores de servicios de pago no procesan los pagos. | Las llamadas de la API devuelven objetos simulados. Por ejemplo, puedes recuperar y usar objetos de prueba del tipo `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` y `subscription`. | Usa [tarjetas de crédito y cuentas de prueba](https://docs.stripe.com/testing.md#cards). No puedes aceptar métodos de pago reales ni trabajar con cuentas reales. | [Identity](https://docs.stripe.com/identity.md) no realiza comprobaciones de verificación. Además, los [objetos account](https://docs.stripe.com/api/accounts/object.md) de Connect no devuelven campos confidenciales. | | Modo activo | Cuando tengas todo listo para lanzar tu integración y aceptar dinero real, usa el modo activo y sus claves de API activas asociadas. En el modo activo, las redes de tarjetas y los proveedores de servicios de pago procesan los pagos. | Las llamadas de la API devuelven objetos reales. Por ejemplo, puedes recuperar y usar objetos reales del tipo `account`, `payment`, `customer`, `charge`, `refund`, `transfer`, `balance` y `subscription`. | Acepta tarjetas de crédito reales y trabaja con cuentas de clientes. Puede aceptar autorizaciones de pago, cargos y capturas reales de tarjetas de crédito y cuentas. | Las disputas tienen un flujo con más matices y un [proceso de prueba](https://docs.stripe.com/testing.md#disputes) más simple. Además, algunos [métodos de pago](https://docs.stripe.com/payments/payment-methods.md) tienen un flujo con más matices y requieren más pasos. | ## Pasar al modo activo Cuando estés listo para aceptar pagos reales, reemplaza las claves de API de tu entorno de prueba (prueba) con las claves de modo activo. Esta es la misma página de claves en el Dashboard: alternas entre **Modo de prueba** y **Modo activo** con el botón en la esquina superior derecha del Dashboard para desarrolladores. 1. En el [Dashboard para desarrolladores](https://dashboard.stripe.com/apikeys), deshabilita el **Modo de prueba** activando el botón de modo en la esquina superior derecha. La página ahora muestra tus claves de API en modo activo. 1. Copia tu **clave de modo activo publicable** (comienza con `pk_live_`) y reemplaza la clave `pk_test_` en el código del lado del cliente. 1. Revela y copia tu **clave secreta de modo activo** (comienza con `sk_live_`) y reemplaza la clave `sk_test_` en el código del lado del servidor. Almacénala de forma segura. Solo puedes verla una vez. 1. Si usas webhooks, actualiza la URL de cada punto de conexión de webhook y copia el nuevo **secreto de firma** desde la sección [Webhooks](https://dashboard.stripe.com/webhooks) del Dashboard. > #### Completar lista de verificación de modo activo > > Cambiar las claves de API es solo un paso. Revisa la [lista de verificación de modo activo](https://docs.stripe.com/get-started/checklist/go-live.md) completa para asegurarte de que tu integración esté lista para producción. ## Claves de API de la organización Si tienes varias cuentas de empresa de Stripe en una [organización](https://docs.stripe.com/get-started/account/orgs.md), puedes configurar una única clave de API a nivel de la organización. Las claves de API a nivel de la organización proporcionan la siguiente funcionalidad: - **Acceso a cualquier cuenta**: puedes utilizar las claves API de organización para acceder a los recursos de cualquier cuenta dentro de la organización. - **Permisos granulares**: restringe las claves API organizativas para otorgar permisos de lectura o escritura solo a recursos específicos. - **Gestión centralizada**: crea y administra claves API organizativas en la pestaña [Claves API](https://dashboard.stripe.com/org/api-keys/secret) del Dashboard de tu organización. ### Comportamiento Las claves de API de la organización se comportan de manera diferente a las claves de API a nivel de la cuenta, e incluyen lo siguiente: - No tienen una clave publicable. Debes tratar todas las claves de API de la organización como claves secretas. - Todas tienen el mismo prefijo `sk_org`, independientemente de sus niveles de permisos. - Todas las solicitudes de API realizadas con una clave de API de la organización deben incluir el encabezado `Stripe-Context` para identificar la cuenta afectada. - Todas las solicitudes de API realizadas con una clave de API de la organización deben incluir el encabezado `Stripe-Version` para garantizar la coherencia y la previsibilidad en todas las integraciones de tu organización. ### Usa claves de API de la organización Cuando usas una clave de API de la organización, también debes hacer lo siguiente: - Para especificar una versión de API, incluye el encabezado `Stripe-Version`. Al usar un [SDK de Stripe](https://docs.stripe.com/sdks/set-version.md), el SDK establece automáticamente la versión de la API. - Identifica la cuenta afectada por la solicitud de la API. Para ello, incluye el encabezado `Stripe-Context`. Por ejemplo, dada la siguiente estructura organizativa: ``` Organization (org_6SD3oI0eSQemPzdmaGLJ5j6) ├── Platform account (acct_1R3fqDP6919yCiFv) | └── Connected account (acct_1032D82eZvKYlo2C) └── Standalone account (acct_1aTnTtAAB0hHJ26p) ``` Puedes usar la clave de API de la organización para acceder al saldo de la cuenta independiente. También puedes usar la misma clave para realizar la misma llamada correspondiente a la cuenta conectada de la plataforma. ```curl curl https://api.stripe.com/v1/balance \ -u {{ORG_SECRET_KEY}}: \ -H "Stripe-Version: {{STRIPE_API_VERSION}}" \ -H "Stripe-Context: {{CONTEXT_ID}}" ``` En el ejemplo de código anterior, reemplaza `{{CONTEXT}}` por el valor correspondiente: - Para la cuenta independiente, usa `acct_1aTnTtAAB0hHJ26p`. - Para la cuenta conectada, utilizar una ruta que identifique tanto a la plataforma como a la cuenta conectada, siguiendo el formato `acct_1R3fqDP6919yCiFv/acct_1032D82eZvKYlo2C`. Debes especificar la cuenta correspondiente usando el contexto y la versión API en cualquier solicitud API que use una clave de organización. Las organizaciones no tienen claves API publicables porque no pueden aceptar pagos. Esto significa que puedes usar la clave API de tu organización con el fin de crear PaymentIntent para cualquier cuenta de tu organización, pero debes usar claves publicables específicas de la cuenta existentes para las operaciones del lado del cliente. ## Claves de API gestionadas Algunas plataformas de terceros, como [Vercel](https://vercel.com/docs/integrations/ecommerce/stripe), pueden crear y gestionar claves de API en tu nombre cuando instalas su integración. Estas claves se llaman claves de API gestionadas, y la plataforma las crea mediante programación en lugar de que tú las crees de forma manual en el Dashboard. Las claves de API gestionadas aparecen junto a tus otras claves en la pestaña [Claves de API](https://dashboard.stripe.com/test/apikeys), etiquetadas con el nombre de la plataforma de gestión. En la siguiente tabla, se resumen las diferencias entre claves no gestionadas y claves gestionadas. | | Claves no gestionadas | Claves gestionadas | | ----------------------- | ------------------------------------------------------------------ | ---------------------------------------------------------------------------------------------------- | | Creación de claves | Creas claves en el Dashboard | La plataforma crea claves con la API | | Interacción del usuario | Copias claves desde el Dashboard y las configuras en la plataforma | La plataforma gestiona la configuración de claves de forma automática | | Entrega de clave | Se muestra en el Dashboard | Se entrega directamente a la plataforma | | Gestión de claves | Controlas la rotación y el vencimiento | La plataforma gestiona el ciclo de vida de las claves; las claves pueden vencer en cualquier momento | ### Revocar el acceso a claves gestionadas Puedes revocar una clave de API gestionada en cualquier momento de una de las siguientes maneras: - **Hacer vencer la clave**: en la pestaña [Claves de API](https://dashboard.stripe.com/apikeys), haz clic en el menú de contenido adicional (⋯) de la clave gestionada y hazla vencer. Esto revocará de inmediato el acceso a la plataforma sin eliminar la integración. - **Desinstalar la integración**: desinstala la aplicación de la plataforma desde tu cuenta de Stripe. Cuando desinstalas una aplicación, puedes optar por hacer vencer de inmediato las claves gestionadas o mantenerlas activas. ## Claves secretas y restringidas Usa el Dashboard para crear, revelar, modificar, eliminar y rotar claves secretas y restringidas. ### Crear una clave API Recomendamos crear [claves API restringidas](https://docs.stripe.com/keys-best-practices.md#limit-access) (RAK) para la mayoría de los casos de uso. Si usas una RAK, puedes asignar con precisión los permisos necesarios para la integración, lo que reduce el impacto que un actor malicioso podría causar a tu empresa si obtuviera tu clave. Crea una clave API secreta sin restricciones solo cuando tu integración requiera acceso a todas las API y recursos Stripe. #### Para crear una clave de API restringida, haz lo siguiente: 1. En la pestaña [Claves API](https://dashboard.stripe.com/test/apikeys), realiza una de las siguientes acciones: - Para crear una nueva clave restringida, haz clic en **Crear clave restringida**. El valor predeterminado para todos los permisos es **Ninguno**. - Para clonar una clave que ya existe, haz clic en el menú de opciones (⋯) y, a continuación, selecciona **Duplicar clave**. En este caso, el valor predeterminado para cada permiso es su valor en la clave clonada. 1. En el campo **Nombre de la clave**, ingresa un nombre. Si clonaste una clave existente, el nombre predeterminado es el nombre de la clave clonada. 1. Para cada recurso al que deseas que acceda la nueva clave, selecciona el permiso apropiado: **Ninguno**, **Lectura** o **Escritura**. Si usas Connect, también puedes seleccionar el permiso para que esta clave lo permita cuando se acceda a las cuentas conectadas. 1. Haz click en **Crear clave**. 1. En el cuadro de diálogo, ingresa el código de verificación que Stripe te envía por correo electrónico o mensaje de texto. Si el cuadro de diálogo no continúa automáticamente, haz clic en **Continuar**. 1. Haz clic en el valor clave para copiarlo. 1. Guarda el valor de la clave. No puedes recuperarlo más tarde. 1. En el campo **Agregar una nota**, ingresa la ubicación donde guardaste la clave y haz clic en **Listo**. #### Para crear una clave API secreta, haz lo siguiente: 1. En la pestaña [Claves API](https://dashboard.stripe.com/test/apikeys), haz clic en **Crear clave secreta**. 1. En el cuadro de diálogo, ingresa el código de verificación que Stripe te envía por correo electrónico o mensaje de texto. Si el cuadro de diálogo no continúa automáticamente, haz clic en **Continuar**. 1. Ingresa un nombre en el campo **Nombre de la clave** y luego haz clic en **Crear**. 1. Haz clic en el valor clave para copiarlo. 1. Guarda el valor de la clave. No puedes recuperarlo más tarde. 1. En el campo **Agregar una nota**, ingresa la ubicación donde guardaste la clave y haz clic en **Listo**. ### Mostrar una clave API Puedes revelar una clave API secreta o una clave API restringida en un entorno de prueba o modo activo. En modo activo, Stripe te muestra una clave API solo una vez (por motivos de seguridad). Guarda la clave en un lugar donde no la pierdas. Para recordarte dónde la guardaste, puedes dejar una nota en la clave en el Dashboard. Si pierdes la clave, puedes cambiarla o eliminarla y crear otra. > #### Revelar claves secretas en modo activo > > Después de crear una clave de API secreta o restringida en modo activo, la mostramos antes de que la guardes. Debes copiar la clave antes de guardarla, ya que no podrás copiarla más tarde. Solo puedes mostrar una clave secreta predeterminada o una clave generada por una rotación programada. #### Para revelar una clave API secreta en un entorno de prueba 1. En la pestaña [Claves API](https://dashboard.stripe.com/test/apikeys), en la lista **Claves estándares**, haz clic en **Revelar clave de prueba** en la fila **Clave secreta**. Puedes revelar la clave API secreta tantas veces como quieras. 1. Haz clic en el valor clave para copiarlo. 1. Guarda el valor de la clave. 1. Haz clic en **Ocultar clave de prueba**. #### Para revelar una clave de API secreta o restringida en modo activo 1. En la pestaña [Claves API](https://dashboard.stripe.com/apikeys) en modo activo, en la lista **Claves estándares** o **Claves restringidas**, haz clic en **Revelar clave activa** para la clave que quieres revelar. 1. Haz clic en el valor clave para copiarlo. 1. Guarda el valor de la clave. 1. Haz clic en **Ocultar clave de prueba**. 1. Haz clic en el menú de opciones (⋯) y selecciona **Editar clave** para la clave a la que deseas agregar una nota. 1. En el campo **Nota**, ingresa la ubicación donde guardaste la clave y, luego, haz clic en **Guardar**. > Las claves que creaste antes de que Stripe incorporara esta funcionalidad no se ocultan automáticamente cuando se revelan. Debes ocultarlas de forma manual haciendo clic en **Ocultar clave activa**. ### Limitar una clave API a ciertas direcciones IP Puedes limitar una clave API secreta o restringida a un rango de direcciones IP, o a una o más direcciones IP específicas. Stripe recomienda habilitar las restricciones IP en todas las claves de modo activo para evitar el uso de ubicaciones no autorizadas. Usa diferentes listas de IP permitidas para claves distintas cuando corresponda (por ejemplo, a fin de distinguir entre entornos de preparación y producción). Las direcciones IP deben usar el protocolo IPv4. Puedes especificar cualquier rango de CIDR válido. Por ejemplo, un rango válido podría ser `100.10.38.0 - 100.10.38.255`, especificado como `100.10.38.0/24`. Todas las direcciones IP en el rango deben comenzar con `100.10.38`. 1. En la pestaña [Claves API](https://dashboard.stripe.com/test/apikeys), en la lista **Claves estándares** o **Claves restringidas**, haz clic en el menú de opciones (⋯) y selecciona la clave que deseas revelar. 1. Selecciona **Gestionar restricciones IP** > **Limitar el uso a un conjunto de direcciones IP**. 1. Realiza una de las siguientes acciones: - Ingresa una o más direcciones IP particulares en el campo **Dirección IP**. - Para el rango de direcciones IP, introduce la primera dirección del rango que usa la notación de enrutamiento entre dominios sin clases (CIDR) en el campo **Dirección IP**. Introduce el tamaño del prefijo de red en el campo **CIDR**. 1. Para agregar otra dirección o rango IP, haz clic en **+ Agregar**. 1. Haz click en **Guardar**. ### Cambia el nombre o la nota de una clave API 1. En la pestaña [Claves API](https://dashboard.stripe.com/test/apikeys), haz clic en el menú de opciones (⋯) para ver la clave que quieres cambiar. 1. Selecciona **Editar clave**. 1. Haz lo siguiente: - Para cambiar el nombre, ingresa un nuevo nombre en el campo **Nombre de la clave**. - Si desea cambiar el texto de la nota, ingresa el nuevo texto en el campo **Nota**. 1. Haz click en **Guardar**. ### Hacer vencer una clave de API Si se vence una clave secreta o restringida de API, debes crear una nueva y actualizar cualquier código que utilice la clave vencida. Cualquier código que utilice la clave vencida ya no podrá realizar llamadas API. > No se puede hacer vencer una clave publicable. 1. En la pestaña [Claves de API](https://dashboard.stripe.com/test/apikeys), en la lista **Claves estándar** o **Claves restringidas**, haz clic en el menú de contenido adicional (⋯) y selecciona la clave que deseas hacer vencer. 1. Selecciona **Hacer vencer clave**. 1. En el cuadro de diálogo, haz clic en **Eliminar clave**. Si ya no quieres eliminar la clave, haz clic en **Cancelar**. ### Rota una clave de API Rotar una clave API la revoca y genera una clave de reemplazo que está lista para usar de inmediato. También puedes programar que una clave API para rotar después de un cierto tiempo. La clave de reemplazo se nombra de la siguiente manera: - El nombre de la clave publicable de reemplazo siempre es `clave publicable`. - El nombre de la clave secreta de reemplazo siempre es `clave secreta`. - El nombre de la clave restringida de reemplazo es el mismo que el de la clave rotada. Puedes cambiar el nombre de una clave de API secreta o restringida editando la clave. Rotar una clave API en escenarios como los siguientes: - Si pierdes una clave API secreta o restringida en modo activo y no puedes recuperarla desde el Dashboard. - Si una clave API secreta o restringida se ve comprometida, tienes que revocarla para bloquear cualquier solicitud API potencialmente nociva que puedan usar la clave. - Si un miembro del equipo con acceso a la clave abandona tu organización o cambia de función. - Si tu política requiere rotar las claves a ciertos intervalos. #### Para rotar una clave API 1. En la pestaña [Claves API](https://dashboard.stripe.com/test/apikeys), haz clic en el menú de opciones (⋯) para ver la clave que quieres rotar. 1. Selecciona **Rotar clave**. 1. Selecciona una fecha de vencimiento en el menú desplegable **Vencimiento**. Si eliges **Ahora**, se elimina la clave antigua. Si especificas una hora, el tiempo restante hasta que venza la clave se muestra debajo del nombre de la clave. 1. Haz clic en **Rotar clave de API**. 1. Haz clic en el valor clave para copiarlo. 1. Guarda el valor de la clave. No puedes recuperarlo más tarde. 1. En el campo **Agregar nota**, ingresa la ubicación donde guardaste la clave y, luego, haz clic en **Guardar** o **Listo**. ### Restaurar el acceso a una clave de API El acceso de una clave de API puede limitarse si no se usó para crear transferencias o para actualizar sus destinos durante más de 180 días. No puedes usar una clave con acceso limitado para crear transferencias ni sus destinos. Puedes restaurar el acceso para usar la clave con normalidad o realizar una acción bloqueada. #### Para restaurar el acceso a una clave de API 1. En la pestaña [Claves de API](https://dashboard.stripe.com/test/apikeys), haz clic en el menú de opciones (⋯) de la clave que quieres restaurar. 1. Selecciona **Restaurar el acceso**. 1. Haz clic en **Restaurar**. ## Ver registros de solicitudes API Para [abrir los registros de solicitudes API](https://docs.stripe.com/development/dashboard/request-logs.md), haz clic en el menú de opciones (⋯) de una clave y, luego, selecciona **Ver registros de solicitudes**. Si abres los registros, irás al Dashboard de Stripe. ## See also - [Prácticas recomendadas para gestionar claves secretas de API](https://docs.stripe.com/keys-best-practices.md) - [Protección contra claves de API comprometidas](https://support.stripe.com/questions/protecting-against-compromised-api-keys) - [¿Por qué mi clave de API tiene acceso limitado?](https://support.stripe.com/questions/why-does-my-api-key-have-limited-access)