Delete User API Key
DELETE/company/apikey/:tempCode
Elimina permanentemente una API Key creada por el usuario autenticado, revocando el acceso programático asociado a esa credencial.
Objetivo
Permitir a los usuarios revocar sus propias API Keys cuando ya no son necesarias o cuando se sospecha que han sido comprometidas.
Casos de Uso
- Revocar acceso de una integración descontinuada
- Eliminar una key comprometida o filtrada accidentalmente
- Rotar credenciales eliminando la antigua y creando una nueva
- Limpiar keys de prueba que ya no se utilizan
Flujo de operación
flowchart TD
A[Receive DELETE Request] --> B{Usuario Autenticado?}
B -->|No| C[401 Unauthorized]
B -->|Sí| D{Usuario Existe?}
D -->|No| E[404 USER_NOT_FOUND]
D -->|Sí| F{temp_code Proporcionado?}
F -->|No| G[400 TEMP_CODE_NOT_PROVIDED]
F -->|Sí| H{API Key Existe?}
H -->|No| I[404 APIKEY_NOT_FOUND]
H -->|Sí| J{Key Pertenece al Usuario?}
J -->|No| K[401 CANT_DELETE]
J -->|Sí| L[Soft Delete Key]
L --> M[200 APIKEY_DELETED]
Consideraciones importantes
- Solo se pueden eliminar claves propias del usuario
- Usa el temp_code (no la clave real) para identificar la API Key
- La eliminación es soft delete (mongoose-delete plugin)
- La clave eliminada no aparecerá en listados futuros
- No se puede deshacer la eliminación mediante la API pública
Formato del temp_code
- String alfanumérico de aproximadamente 25 caracteres
- Ejemplo:
2c3srejxqa176128918935tzv - Se obtiene de GET /company/apikey/ o al crear la key
Notas de Seguridad
- Verificar que todas las integraciones que usan la key sean actualizadas antes de eliminarla
- Considerar crear una nueva key antes de eliminar la antigua para evitar downtime
Request
Responses
- 200
- 400
- 401
- 404
API Key eliminada exitosamente
Response Headers
temp_code no proporcionado
No autenticado o intento de eliminar key ajena
Response Headers
API Key no encontrada