X-API-Key

`X-API-Key` es el header HTTP estándar para autenticar requests por clave de aplicación. A diferencia de `Authorization: Bearer`, no implica intercambio OAuth y no incluye expiración inherente — la key vive hasta que se rote manualmente. En Normadata, cada request a la API debe incluir el header: ``` X-API-Key: nd_live_aB3xF9pQrZ7nW2sT5vU8yK ``` Formato: `nd_` (prefijo del producto) + `live` o `test` (entorno) + `_` + 22 caracteres base62 generados con un PRNG criptográfico. Esa estructura aporta varias propiedades útiles: el prefijo permite identificar visualmente que es una key de Normadata, el entorno previene mezclar credenciales de producción con sandbox, y los 22 caracteres base62 dan ~131 bits de entropía. Buenas prácticas: - Nunca poner la key en el frontend (es server-side only). - Usar siempre HTTPS — `X-API-Key` viaja en claro en cuanto a HTTP. - Rotar keys de forma periódica y al detectar exposición. - Crear keys separadas por entorno (dev/staging/prod) y por servicio interno. - Combinar con allowlists de IP cuando el caso de uso lo permita. Si la key está ausente o es inválida, la API responde `401 Unauthorized` con `code: "invalid_api_key"`. Si está revocada, `401` con `code: "key_revoked"`.