Autenticación
Cada solicitud REST se autentica con una clave de API enviada como un token Bearer. (Los puntos finales públicos de verificación son la única excepción — no necesitan clave, porque el número de serie impreso es la credencial.)
# Claves de API
Crea claves en la aplicación bajo Configuración → Claves de API. Hay dos tipos:
| Prefijo | Uso |
|---|---|
mtq_live_… |
Producción — se cuenta contra la cuota de tu plan. |
mtq_test_… |
Testing. |
Las claves se muestran una sola vez en la creación — guárdalas en un lugar seguro. Solo se mantiene un hash SHA-256 en el servidor, por lo que una clave perdida no se puede recuperar, solo revocar y reemplazar.
# Envío de la clave
Agrega un encabezado Authorization a cada solicitud:
Authorization: Bearer mtq_live_xxxxxxxxxxxxxxxxxxxxxxxx
curl https://mostlyqr.com/api/v1/links \
-H "Authorization: Bearer mtq_live_…"
Una clave faltante, inválida o revocada devuelve 401. Cada clave tiene un límite de velocidad por ventana fija; excederlo devuelve 429. Consulta Errores.
# URL base
https://mostlyqr.com/api
Las solicitudes a /api/** se enrutan a la función REST mediante una reescritura de Hosting. (La URL de función sin procesar https://europe-west2-mostly-qr.cloudfunctions.net/restApi también funciona.)
# Limitación de plan
Algunos puntos finales requieren un plan pago: la API REST y batch son Pro+, y los códigos serializados son Enterprise. Una solicitud más allá del derecho de tu plan devuelve 403/failed-precondition con el límite en el error. Consulta tu plan en Configuración.
# Mantener las claves seguras
- Nunca envíes una clave en código del lado del cliente o en un repositorio público.
- Rota creando una clave nueva y revocando la antigua; la revocación es inmediata.