Credenciales de la app
Cuando creas una app, puedes generar estas credenciales:| Credencial | Caso de uso |
|---|---|
| API Key y Secret | Autenticación con OAuth 1.0a. Se usan para firmar solicitudes o generar tokens de usuario. |
| Access Token y Secret | Realizar solicitudes en nombre de tu propia cuenta (OAuth 1.0a). |
| Client ID y Secret | Autenticación con OAuth 2.0. Se usan para el flujo de authorization code. |
| Bearer Token | Autenticación app-only para endpoints de datos públicos. |
Crear una app
Abre la Developer Console
Ve a console.x.com e inicia sesión.
Permisos de la app (OAuth 1.0a)
Las apps de OAuth 1.0a tienen tres niveles de permisos:- Solo lectura
- Lectura y escritura
- Lectura, escritura y DMs
- Ver posts, usuarios y datos públicos
- No se puede publicar, dar like ni modificar nada
- No se puede acceder a los Mensajes Directos
Cambiar los permisos requiere que los usuarios vuelvan a autorizar tu app para obtener nuevos tokens con el alcance actualizado.
Tipos de app de OAuth 2.0
Al configurar OAuth 2.0, selecciona el tipo de tu app:| Tipo | Cliente | Caso de uso |
|---|---|---|
| Web App | Confidencial | Aplicaciones del lado del servidor que pueden almacenar secretos de forma segura |
| Automated App / Bot | Confidencial | Bots y servicios automatizados que se ejecutan en servidores |
| Native App | Público | Apps móviles o de escritorio que no pueden proteger secretos |
| Single Page App | Público | Apps JavaScript basadas en navegador |
URLs de callback
Las URLs de callback (URIs de redirección) son obligatorias para los flujos de OAuth. Después de que un usuario autoriza tu app, es redirigido a tu URL de callback con un código de autorización.Requisitos
- Agrega las URLs de callback a la lista de permitidas de tu app en la Developer Console
- Las URLs deben coincidir exactamente (incluidas las barras finales)
- Máximo 10 URLs de callback por app
- Usa
https://en producción - Para desarrollo local, usa
http://127.0.0.1(nolocalhost)
Protocolos no permitidos
Estos protocolos no se pueden usar:javascript, data, file, ftp, mailto, telnet y otros esquemas no estándar.
Lista completa de protocolos no permitidos
Lista completa de protocolos no permitidos
vbscript, javascript, vbs, data, mocha, keyword, livescript, ftp, file, gopher, acrobat, callto, daap, itpc, itms, firefoxurl, hcp, ldap, mailto, mmst, mmsu, msbd, rtsp, mso-offdap, snews, news, nntp, outlook, stssync, rlogin, telnet, tn3270, shell, sipMejores prácticas
Usa apps separadas
Crea apps diferentes para desarrollo, staging y producción.
Rota las credenciales
Regenera las claves periódicamente y si sospechas que están comprometidas.
Permisos mínimos
Solicita únicamente los permisos que realmente necesite tu app.
Monitorea el uso
Revisa la Developer Console con regularidad para rastrear el uso de la API.
Etiquetas de cuenta automatizada
Si tu app ejecuta una cuenta bot, puedes etiquetarla como automatizada:- Ve a la Configuración de tu cuenta bot
- Selecciona Tu cuenta → Automatización
- Vincula tu cuenta administradora
Solución de problemas
Error: Callback URL no aprobada
Error: Callback URL no aprobada
Asegúrate de que tu URL de callback sea exactamente igual a la registrada en la Developer Console, incluido el protocolo y las barras finales. Codifica la URL en HTTP cuando la pases como parámetro de consulta.
App suspendida
App suspendida
Si tu app aparece como suspendida, revisa tu correo electrónico para ver un aviso del equipo de la plataforma X. Usa el formulario de ayuda de la plataforma para apelar.