Saltar al contenido principal
Las apps son contenedores para tus credenciales de API. Cada app tiene sus propias claves, tokens y configuración.

Credenciales de la App

Cuando creas una App, puedes generar estas credenciales:
CredencialCaso de uso
API Key & SecretAutenticar con OAuth 1.0a. Se usa para firmar solicitudes o generar tokens de usuario.
Access Token & SecretRealizar solicitudes en nombre de tu propia cuenta (OAuth 1.0a).
Client ID & SecretAutenticar con OAuth 2.0. Se usa para el flujo de código de autorización.
Bearer TokenAutenticación solo de la App para endpoints de datos públicos.
Elige OAuth 2.0 para proyectos nuevos. Ofrece scopes granulares y es obligatorio para endpoints de contexto de usuario de X API v2.

Creación de una App

1

Abre la Consola de desarrollador

Ve a console.x.com e inicia sesión.
2

Haz clic en Create App

Ingresa un nombre, una descripción y el caso de uso de tu App.
3

Genera credenciales

Después de crearla, genera las claves y tokens que necesitas.
4

Almacena de forma segura

Guarda estas credenciales de inmediato; solo se mostrarán una vez.

Permisos de la App (OAuth 1.0a)

Las Apps OAuth 1.0a tienen tres niveles de permisos:
  • Ver publicaciones, usuarios y datos públicos
  • No permite publicar, indicar que algo te guste ni modificar nada
  • No permite acceder a los Mensajes Directos
Cambiar los permisos requiere que los usuarios vuelvan a autorizar tu App para obtener nuevos tokens con el ámbito actualizado.

Tipos de apps OAuth 2.0

Al configurar OAuth 2.0, selecciona tu tipo de app:
TypeClientCaso de uso
Web AppConfidencialAplicaciones del lado del servidor que pueden almacenar secretos de forma segura
Automated App / BotConfidencialBots y servicios automatizados que se ejecutan en servidores
Native AppPúblicaApps móviles o de escritorio que no pueden proteger secretos de forma segura
Single Page AppPúblicaApps JavaScript basadas en el navegador
Los clientes confidenciales reciben un Client Secret. Los clientes públicos utilizan únicamente PKCE.

URLs de callback

Las URLs de callback (URIs de redirección) son obligatorias para los flujos de OAuth. Cuando un usuario autoriza tu App, se le redirige a tu URL de callback con un código de autorización.

Requisitos

  • Agrega URL de callback a la lista de permitidos de tu App en la Consola de desarrollador
  • Las URL deben coincidir exactamente (incluida la barra diagonal final)
  • Máximo de 10 URL de callback por App
  • Usa https:// en producción
  • Para desarrollo local, usa http://127.0.0.1 (no localhost)

Protocolos no permitidos

No se permite el uso de estos protocolos: javascript, data, file, ftp, mailto, telnet y otros esquemas no estándar.
vbscript, javascript, vbs, data, mocha, keyword, livescript, ftp, file, gopher, acrobat, callto, daap, itpc, itms, firefoxurl, hcp, ldap, mailto, mmst, mmsu, msbd, rtsp, mso-offdap, snews, news, nntp, outlook, stssync, rlogin, telnet, tn3270, shell, sip

Mejores prácticas

Usa Apps separadas

Crea Apps diferentes para desarrollo, preproducción y producción.

Rota las credenciales

Regenera las claves periódicamente y si sospechas que se han visto comprometidas.

Permisos mínimos

Solicita únicamente los permisos que tu App realmente necesita.

Supervisa el uso

Revisa con regularidad la Consola de desarrollador para supervisar el uso de la API.

Etiquetas de cuentas automatizadas

Si tu App ejecuta una cuenta bot, puedes etiquetarla como automatizada:
  1. Ve a Settings en tu cuenta bot
  2. Selecciona Your accountAutomation
  3. Vincula la cuenta que la administra
Esto genera confianza con los usuarios y distingue tu bot del spam.

Solución de problemas

Asegúrate de que tu URL de callback coincida exactamente con la registrada en la Consola de desarrollador, incluido el protocolo y cualquier barra diagonal final. Aplica codificación URL a la dirección cuando la pases como parámetro de consulta.
{
  "errors": [{
    "code": 415,
    "message": "Callback URL not approved for this client application."
  }]
}
Si tu App aparece como suspendida, revisa tu correo electrónico para ver si recibiste una notificación del equipo de la plataforma de X. Usa el Formulario de ayuda de la plataforma para apelar.