Saltar al contenido principal

Seguridad

Incrustar el iframe en producción requiere una comprensión clara de las dos credenciales que emitimos y cómo mantener segura la que se expone al público.

Las dos claves

Cuando recibes las credenciales, obtienes dos claves distintas:

  • Clave de iframe (identificador de empresa): usada en la URL de iframe como ?company=XXX.
  • Token API S2S: usado para solicitudes servidor-a-servidor (obtener informes de diagnóstico, generar claves temporales, etc.).

La clave de iframe viaja en texto plano dentro de la URL. En una página web, cualquiera que inspeccione el DOM puede leerla. El riesgo es menor en aplicaciones móviles nativas donde la URL no es directamente inspectable, pero el principio sigue siendo el mismo: trata la clave de iframe como una credencial pública y rótala a través de alternativas de corta duración siempre que sea posible.

El token API S2S, por el contrario, nunca debe salir de tu backend.

Identificadores de empresa temporales

Para prevenir el uso no autorizado de tu clave de iframe, la API te permite generar claves temporales de corta duración. Usando el token API S2S, tu backend crea un identificador de empresa nuevo para cada carga de iframe y le asigna una expiración corta (por ejemplo 10 minutos). Incluso si la clave temporal es interceptada, se vuelve inválida rápidamente.

Endpoint

  • Método: POST
  • Ruta: /company-app-keys
  • URL completa: tu URL base de API S2S Company + /company-app-keys (por ejemplo https://api.example.com/s2s/v3/company/company-app-keys)

Encabezados requeridos

  • X-API-TOKEN: <tu token API S2S>
  • accept: application/json

Cuerpo de la solicitud

  • appKey: el valor de clave de aplicación que deseas registrar. Debe ser al menos 64 caracteres alfanuméricos. Genéralo con una fuente aleatoria criptográficamente segura.
  • expiresAt: fecha/hora de expiración en formato ISO-8601 (por ejemplo 2026-12-31T23:59:59+00:00).
{
  "appKey": "my-secure-app-key-that-is-at-least-64-characters-long-1234567890abcdef",
  "expiresAt": "2026-12-31T23:59:59+00:00"
}

Ejemplo de cURL

curl -X POST "https://api.example.com/s2s/v3/company/company-app-keys" \
  -H "X-API-TOKEN: YOUR_S2S_TOKEN" \
  -H "accept: application/json" \
  -d '{
    "appKey": "my-secure-app-key-that-is-at-least-64-characters-long-1234567890abcdef",
    "expiresAt": "2026-12-31T23:59:59+00:00"
  }'

Respuesta exitosa

HTTP 201 Created:

{
  "success": true,
  "message": "App Key created",
  "data": {
    "appKey": "my-secure-app-key-that-is-at-least-64-characters-long-1234567890abcdef",
    "expiresAt": "2026-12-31T23:59:59+00:00"
  },
  "errorCode": null
}

Usando la clave generada en la URL de iframe

El appKey devuelto en la respuesta es el valor que pones en el parámetro de consulta company del iframe:

<iframe src="https://iframe.legit.health/?company=APP_KEY_FROM_RESPONSE"></iframe>

En resumen, el flujo de trabajo es:

Para la lista completa de parámetros que pueden acompañar company en la URL, consulta la página de Personalizar.

Pasos siguientes

  • ¿Personalizar la apariencia o comportamiento del iframe? Consulta la página de Personalizar.
  • ¿Listo para incrustar en tu plataforma? Consulta la sección Platforms.
  • ¿Necesitas manejar devoluciones de llamada después del análisis? Consulta la sección Callbacks.