MoleAPIMoleAPI
DocumentaciónInicio rápidoConceptos básicos

Qué es una API Key

Comprende la función de una API Key, su formato, sus límites de seguridad y la diferencia con las unidades de facturación de texto

La API Key es la credencial de identidad que usas al invocar MoleAPI; en la consola de MoleAPI también suele denominarse Token.

Cuando usas un SDK, una aplicación cliente o tus propias solicitudes HTTP para conectarte a MoleAPI, el sistema utiliza esta Key para determinar:

  • quién eres
  • si tienes permiso para invocar la API
  • a qué modelos puedes acceder
  • a qué cuenta y a qué Key debe atribuirse tu uso

La forma más sencilla de entenderlo

Puedes entender una API Key como:

  • Hacia fuera: es como una “contraseña de la API”
  • Hacia dentro: también funciona como “credencial de acceso + etiqueta de atribución de facturación + interruptor de permisos”

Es decir, no es solo una cadena que determina si puedes o no invocar la API; también afecta a:

  • la atribución de los logs de llamadas
  • el rango de modelos disponibles
  • las políticas de Group
  • las restricciones de seguridad
  • el control de Quota

Formato típico

La API Key de MoleAPI suele tener este aspecto:

sk-********************************

En muchas aplicaciones de terceros, puede aparecer en campos como:

  • API Key
  • clave
  • Token
  • Bearer Token (forma compatible en algunos clientes o interfaces)

La API Key y la unidad de facturación de texto no son lo mismo

Este es el punto de confusión más habitual para quienes empiezan.

Dos conceptos que se confunden fácilmente

  • API Key / Token: credencial de identidad, utilizada para invocar la API.
  • Unidad de facturación de texto (Token): unidad de facturación que usa el modelo al procesar texto, empleada para calcular el coste.

Es decir:

  • Lo que creas es una API Key
  • Lo que consumes es consumo de facturación de texto / coste de la solicitud

Son dos conceptos completamente distintos.

Por qué una misma cuenta debería crear varias API Keys

En teoría, puedes usar una sola Key, pero en la práctica no es lo más recomendable.

La práctica recomendada es separarlas por uso, por ejemplo:

  • dev-local: depuración local
  • chatbox-test: pruebas del cliente de escritorio
  • web-prod: backend del sitio web en producción
  • ops-batch: tareas programadas o procesamiento por lotes

Las ventajas de hacerlo así son:

  1. Logs más claros: puedes identificar rápidamente qué sistema está haciendo las llamadas
  2. Mejor control de permisos: cada Key puede tener modelos y restricciones diferentes
  3. Menor riesgo: si una Key se filtra, no afectará a todo el negocio
  4. Mejor desglose de costes: es más fácil saber quién ha gastado cuánto

Dónde suele almacenarse una API Key

En uso real, las ubicaciones habituales para almacenar una API Key incluyen:

  • la página de configuración de una aplicación cliente local
  • variables de entorno del servidor
  • archivos de configuración del backend (no públicos)
  • sistemas de gestión de secretos

Si eres desarrollador, la forma más común suele ser algo como esto:

export OPENAI_API_KEY="sk-..."

O bien enviarla en el programa como cabecera de autenticación Bearer.

Cuándo deberías volver a crear o reemplazar una API Key

En los siguientes casos, se recomienda crear una Key nueva en lugar de seguir reutilizando la antigua:

  • cuando vayas a separar el entorno de pruebas del entorno de producción
  • cuando necesites asignar permisos de llamada independientes a distintos proyectos
  • cuando necesites restringir un nuevo rango de modelos
  • cuando sospeches que la Key antigua se ha filtrado
  • cuando quieras una auditoría de logs y un desglose de costes más claros

Recomendaciones de seguridad

Si una API Key se filtra, equivale a una filtración de permisos de la API

No expongas la API Key en entornos públicos; de lo contrario, otros podrían usarla directamente para consumir tu Quota.

Como mínimo, evita estas prácticas:

  • no la incluyas en el código fuente del frontend
  • no la subas a un repositorio Git
  • no la compartas en grupos de chat, capturas de tickets o documentación pública
  • no dejes una Key de producción dispersa durante mucho tiempo en varios dispositivos personales

Prácticas recomendadas:

  • usa Keys distintas para pruebas y producción
  • configura restricciones de modelo o listas blancas de IP para las Keys críticas
  • rota periódicamente las Keys de uso prolongado
  • si detectas llamadas anómalas, desactiva o elimina de inmediato la Key antigua

Qué leer a continuación

Si ya entiendes la función de una API Key, el siguiente paso recomendado es consultar directamente:

¿Te resultó útil esta guía?

Última actualización el

Conceptos básicos

API Key, Base URL, grupos y facturación: conceptos clave que debes conocer antes de integrar MoleAPI

Crear un API Key (Token)

Completa la creación de tu primer API Key siguiendo la interfaz real de la consola de MoleAPI

En esta página

La forma más sencilla de entenderlo
Formato típico
La API Key y la unidad de facturación de texto no son lo mismo
Por qué una misma cuenta debería crear varias API Keys
Dónde suele almacenarse una API Key
Cuándo deberías volver a crear o reemplazar una API Key
Recomendaciones de seguridad
Qué leer a continuación
Volver al inicioPasarela