Saltar al contenido principal

Tokens de API

Los tokens de API autentican las solicitudes a la API REST pública (/api/v1/*). Son independientes de tus credenciales de inicio de sesión.

Formato del token

qh_<prefix>_<secret>
  • qh_ — prefijo fijo que identifica los tokens de QA Hub
  • <prefix> — una cadena aleatoria corta almacenada en texto claro (usada para mostrar y revocar)
  • <secret> — una cadena aleatoria más larga hasheada con bcrypt (nunca almacenada ni recuperable)

Crear un token

  1. Ve a Settings → Developer → API Tokens.
  2. Haz clic en Create token.
  3. Introduce un nombre y selecciona los scopes (read, write o ambos).
  4. Haz clic en Create — el token completo se muestra solo una vez.
  5. Cópialo de inmediato y guárdalo de forma segura.
qh_a1b2c3_e7f8g9h0i1j2k3l4m5n6o7p8q9r0s1t2u3v4
      ↑         ↑
   prefix     secret (copia toda esta cadena)

Scopes

ScopeConcede
readEndpoints GET — listar y recuperar cualquier recurso
writePOST, PATCH, DELETE — crear, actualizar y eliminar recursos

Usar un token

Incluye el token completo en el header Authorization:

curl https://your-qahub.com/api/v1/cases \
  -H "Authorization: Bearer qh_a1b2c3_e7f8g9..."

Almacenar tokens de forma segura

  • Nunca commits tokens en control de versiones
  • Guárdalos en variables de entorno de CI/CD (GitHub Actions secrets, GitLab CI variables, etc.)
  • Usa un gestor de secretos (Vault, AWS Secrets Manager, 1Password) en producción
# Ejemplo con GitHub Actions
- name: Upload test results
  run: |
    qa-hub upload --format playwright results.json
  env:
    QA_HUB_TOKEN: ${{ secrets.QA_HUB_TOKEN }}
    QA_HUB_URL: https://your-qahub.com

Revocar un token

Ve a Settings → Developer → API Tokens, localiza el token por nombre o prefijo y haz clic en Revoke. La revocación es inmediata — el token deja de funcionar en la siguiente solicitud.

Ver los tokens existentes

La lista de tokens muestra nombre, prefijo, scopes y fecha de creación. El secreto nunca se vuelve a mostrar después de la creación — si lo pierdes, revoca el token antiguo y crea uno nuevo.

Límites de tokens

No hay un límite estricto en el número de tokens por espacio de trabajo. Crea tokens separados por servicio para facilitar la auditoría y la revocación selectiva.