Autenticación
Autentíquese con la clave API entregada después del pago.
Después de la entrega de la configuración manual, uso la clave API compatible con OpenAI y base URL del código confiable del lado del servidor. Mantenga las credenciales fuera del alcance de los clientes y luego rote o revoque las claves con alcance sin interrumpir los servicios no relacionados.
Última actualización: July 12, 2026. Examples uso safe placeholders y hacer no incluir real credentials o customer datos.
Regla del lado del servidor
Trate las API claves entregadas como credenciales de producción. Guárdelos en entornos de servidores confiables y llame a su propio backend desde navegadores o aplicaciones móviles.
Ruta de instalación
Seis pasos desde la entrega manual hasta la rotación segura.
Step 1
Recibir configuración API
Complete el pago del paquete y espere de 10 minutos a 5 horas para que el administrador entregue la clave API, la base URL, los archivos de configuración, la fecha de activación, la fecha de inicio y la fecha de finalización.
Step 2
Crear una clave de alcance
Una vez entregada la configuración, mantenga la clave entregada en el lado del servidor o cree una clave de ámbito para un servicio, un entorno y los ámbitos de punto final más pequeños que necesita el servicio.
Step 3
Guárdelo en el lado del servidor
Guarde el valor completo en un administrador secreto o una variable de entorno de implementación. No lo envíe a navegadores ni a clientes móviles.
Step 4
Enviar una ficha al portador
Adjunte la clave en el encabezado de Autorización para cada solicitud del lado del servidor a la base URL entregada compatible con OpenAI.
Step 5
Ver fallos de autenticación
Utilice códigos de error estables para distinguir claves faltantes, claves inactivas, claves caducadas, fallas de políticas de IP y alcances faltantes.
Step 6
Rotar antes de que crezca el riesgo
Cree una clave de reemplazo, impleméntela, confirme los movimientos del tráfico y luego revoque la clave anterior.
API formato de clave
Las claves identifican el entorno y el material secreto por separado.
La clave API entregada manualmente llega solo por correo electrónico. Las claves con ámbito de autoservicio comienzan con un prefijo unlimitedcodex, incluyen un segmento de entorno y terminan con material secreto generado; su valor total se muestra una vez en el momento de la creación.
| Segmento | Ejemplo | Propósito |
|---|---|---|
| Prefijo | ucx | Identifica el valor como una clave unlimitedcodex API. |
| Medio ambiente | desarrollo, prueba o en vivo | Mantiene separadas las credenciales locales, de puesta en escena y de producción. |
| valor secreto | Valor aleatorio generado | Se muestra una vez en el momento de la creación y luego se almacena como un hash seguro. |
| Prefijo de visualización | Primeros personajes seguros | Se utiliza en registros y paneles para identificar una clave sin revelar la credencial completa. |
Use placeholders such as ucx_live_placeholder_value en documentos y tests. Nunca pegar a real clave en examples, problema trackers, analytics, o soporte messages.
Uso del token al portador
Envíe la clave en el encabezado de Autorización.
Las personas que llaman del lado del servidor deben leer la clave entregada o de alcance de una variable de entorno y enviarla como un token de portador con cada solicitud API.
Utilice HTTPS para todas las solicitudes API.
Envíe la clave completa solo en el encabezado Autorización.
Mantenga los encabezados de tipo de contenido separados de la autenticación.
Devolver errores desinfectados a las aplicaciones cliente.
# Server-side environment only UCX_API_KEY=ucx_live_placeholder_value
const response = await fetch("https://unlimitedcodex.com/v1/models", {
method: "GET",
headers: {
Authorization: `Bearer ${process.env.UCX_API_KEY}`
}
});
if (!response.ok) {
const error = await response.json();
throw new Error(error.error?.code ?? "api_request_failed");
}Variables ambientales
Mantenga las credenciales fuera de los paquetes de clientes.
Las API claves entregadas pertenecen a procesos backend, funciones sin servidor y trabajadores seguros. El código del navegador debe llamar a su backend, no a unlimitedcodex directamente.
Desarrollo local
Utilice una clave de desarrollo o prueba en un archivo env solo local que git ignora.
Vista previa de implementaciones
Utilice una clave de vista previa independiente para que el tráfico provisional no afecte las credenciales de producción.
Servidores de producción
Utilice el almacén de entorno cifrado de su proveedor de alojamiento o un administrador secreto dedicado.
Aplicaciones cliente
No exponga API claves en variables de entorno de interfaz, almacenamiento del navegador, paquetes móviles o archivos estáticos.
Rotación de claves
Gire agregando primero y luego revocando.
Evite la interrupción de la producción implementando una clave de reemplazo antes de revocar la anterior. Utilice prefijos de visualización y solicite registros para confirmar la transición.
# Rotation checklist 1. Create a replacement key with the same required scopes. 2. Save it as the next server-side environment value. 3. Deploy the service and confirm traffic uses the new prefix. 4. Revoke the old key after traffic has moved. 5. Monitor 401 and 403 responses for stale deployments.
Errores de autenticación comunes
Lea el código de estado y error antes de volver a intentarlo.
Los errores de autenticación utilizan códigos de respuesta estables para que su integración pueda distinguir las credenciales faltantes de los problemas de alcance, estado, lista de permitidos y verificación.
| Estado | Código | causa común | Siguiente acción |
|---|---|---|---|
| 401 | clave_api_inválida | Falta el encabezado de Autorización, está mal formado o contiene una clave desconocida. | Verifique el token de portador, el nombre de la variable de entorno y el secreto de implementación. |
| 403 | clave_api_inactiva | La clave existe pero no está activa. | Utilice una clave activa o cree una clave de reemplazo para el servicio. |
| 403 | clave_api_expirada | La clave ha pasado su tiempo de caducidad. | Gire la credencial e implemente el nuevo valor. |
| 403 | ip_no_permitida | La solicitud provino de una dirección IP fuera de la lista de claves permitidas. | Actualice la lista de permitidos o envíe tráfico desde un servidor aprobado. |
| 403 | alcance_insuficiente | La clave no incluye el alcance requerido por el punto final. | Cree o actualice una clave con el alcance específico que necesita su punto final. |
| 503 | api_key_store_no disponible | La verificación de claves respaldada por la base de datos no está disponible temporalmente o no está configurada. | Vuelva a intentarlo más tarde para detectar fallas temporales o verifique la configuración del entorno en entornos que no sean de producción. |
Prácticas de seguridad recomendadas
Autenticación de diseño para contención.
Una buena estrategia clave limita el alcance de los errores. Separe entornos, ámbitos, servicios y propietarios para que una clave nunca tenga más acceso del que necesita.
Utilice claves independientes para desarrollo, puesta en escena y producción.
Cree una clave por servicio para que la rotación y la revocación estén dirigidas.
Otorgue solo los alcances de punto final que el servicio necesita.
Mantenga las claves fuera del código del lado del cliente, aplicaciones móviles, registros y repositorios públicos.
Almacene la clave completa en un administrador secreto o una variable de entorno de implementación.
Rote las llaves según un cronograma e inmediatamente después de sospechar exposición.
FAQ
Preguntas de autenticación.
¿Recibo una clave API inmediatamente después del pago?
No. La configuración se prepara manualmente después del pago. La entrega prevista es de 10 minutos a 5 horas e incluye la clave API, la base URL, los archivos de configuración, la fecha de activación, la fecha de inicio y la fecha de finalización.
¿Dónde debo almacenar una clave API?
Almacene la clave completa en un administrador secreto del lado del servidor o en una variable de entorno de implementación. Nunca lo coloque en el código del navegador, aplicaciones móviles, repositorios públicos o configuraciones visibles para el cliente.
¿Puedo pegar una clave API real en herramientas gratuitas o formularios de soporte?
No. Utilice marcadores de posición o ejemplos desinfectados en herramientas gratuitas, formularios de soporte, rastreadores de problemas, análisis y registros compartidos. Mantenga las claves API completas, los encabezados de autorización, las capturas de pantalla de facturación, las cargas útiles confidenciales y los datos regulados fuera de las superficies públicas o semipúblicas.
¿Puedo ver una clave API completa después de su creación?
No. La clave API entregada manualmente llega solo por correo electrónico. Las claves con ámbito de autoservicio se muestran una vez en el momento de la creación; después de eso, use el prefijo de visualización seguro mientras la plataforma almacena un hash seguro.
¿Qué ámbitos puede utilizar una clave?
Las claves API pueden tener un alcance para chat:escribir, incrustaciones:escribir, imágenes:escribir y uso:leer. Otorgue el conjunto de alcance más pequeño requerido por el servicio.
¿Cómo roto una clave de producción?
Cree una clave de reemplazo con los alcances requeridos, impleméntela como un nuevo valor de entorno del lado del servidor, confirme que el tráfico usa el nuevo prefijo y luego revoque la clave anterior.
Herramientas gratuitas
Pruébelos antes de su primera solicitud en vivo
Ayudantes del lado del cliente para migración, validación, planificación de cuotas y resolución de problemas 429.
Generador de migración
Genere o transforme fragmentos de OpenAI SDK en unlimitedcodex base URL, claves y alcances.
Validador de solicitudes
Valide las cargas útiles de chat, incrustaciones y imágenes JSON con reglas compatibles con unlimitedcodex OpenAI.
429 Decodificador
Pegue un cuerpo de respuesta 429 y encabezados para clasificar el límite de tasa frente a la presión de cuota y consulte la guía de reintento.
Configurador de alcance
Seleccione cargas de trabajo y genere alcances con privilegios mínimos,.env.example y una lista de verificación de rotación.
Planificador de límite de tarifa
Planifique la configuración de retroceso y la lista de verificación de monitoreo de cuotas del RPS esperado y el tamaño del equipo.
Siguiente paso
Combine la autenticación con cuotas y manejo de errores.
Una vez que las claves estén en el lado del servidor y en su alcance, revise el uso ilimitado de tokens, 4 conexiones simultáneas, los errores API comunes y la configuración del punto final del webhook antes de que aumente el tráfico de cara al cliente.