Autenticación
La API de Syncro usa una API Key enviada en el header `X-API-Key`. Cada solicitud necesita ese header — no hay inicio de sesión por usuario/contraseña ni OAuth.
Base URL
https://app.syncro.chat/api/v1AuthX-API-Key: crm_SUA_CHAVE_AQUIMétodo de autenticación
Envía tu clave en el header X-API-Key en todas las solicitudes:
X-API-Key: crm_SUA_CHAVE_AQUI
La clave identifica tu cuenta (tenant). Todos los datos devueltos y creados quedan restringidos a la cuenta dueña de la clave.
Cómo generar tu token
- Accede al panel de Syncro y ve a Configuración → API Keys (
/configuracoes/api-keys). - Haz clic en Nueva API Key, dale un nombre (ej.: "Integración n8n") y confirma.
- Copia la clave en el momento. Se muestra una sola vez. Syncro guarda solo un hash de la clave — si la pierdes, tendrás que generar otra.
- El formato de la clave es
crm_seguido de una secuencia aleatoria (ej.:crm_a1b2c3d4...). Tras la creación, el panel muestra solo el prefijo (crm_...) para identificación.
Para revocar una clave, vuelve a Configuración → API Keys y elimina la clave — el acceso se corta de inmediato.
Formato del header
X-API-Key: crm_SUA_CHAVE_AQUI
Content-Type: application/json
Ejemplo de solicitud
curl https://app.syncro.chat/api/v1/account \
-H "X-API-Key: crm_SUA_CHAVE_AQUI" \
-H "Content-Type: application/json"
Permisos (alcances)
Cada operación exige un permiso. Una clave nueva se crea con acceso total (todos los permisos). Los alcances por recurso son:
| Recurso | Lectura | Escritura |
|---|---|---|
| Leads | leads:read |
leads:write |
| Pipelines | pipelines:read |
— (solo lectura) |
| Campos personalizados | custom_fields:read |
— (solo lectura) |
| Secuencias de nutrición | sequences:read |
sequences:write |
| Tareas | tasks:read |
tasks:write |
whatsapp:read |
whatsapp:write |
|
| Cuenta / Usuarios | users:read |
— (solo lectura) |
| Webhooks | webhooks:read |
webhooks:write |
Cuando una clave no tiene el permiso necesario, la API responde 403 con el campo required_permission indicando el alcance que faltó (ver Errores y límites).
Seguridad y buenas prácticas
- Guarda la clave en una variable de entorno o bóveda de secretos — nunca en el código fuente versionado ni en el front-end.
- Usa siempre HTTPS.
- Genera una clave por integración para poder revocarlas individualmente.
- Si sospechas de una filtración, elimina la clave y genera otra.