
# Autenticación

## Generar una key

Ve a [Ajustes → Integraciones](/settings/integraciones), dale un nombre a la key y
elige qué permisos tendrá. La key se muestra **una sola vez**: cópiala en ese
momento, porque después ya no podremos enseñártela — solo guardamos su huella.

Una key se ve así:

```
ntq_sk_wKq3nR8vT2xF6bJ9pL4cH7mY1sD5gA0eZ
```

## Usarla

Va en la cabecera `Authorization`:

```bash
curl https://notiq.online/api/v1/me \
  -H "Authorization: Bearer ntq_sk_tu_key"
```

```json
{
  "user_id": "8f2a…",
  "scopes": ["read", "write"],
  "credential": "api_key"
}
```

## Permisos (scopes)

Hay tres, y se eligen al crear la key:

| Scope | Qué deja hacer |
|---|---|
| `read` | Ver equipos, sprints, actividades, documentos, habilidades |
| `write` | Crear y editar actividades, sprints, documentos y comentarios |
| `ai` | Usar la IA de Notiq. **Consume la cuota de IA de tu plan** |

Los scopes tienen jerarquía: `write` y `ai` **implican** `read`. Una key con solo
`["write"]` también puede hacer GET — no hace falta pedir los tres para poder leer
lo que vas a modificar. La implicación va en un solo sentido: `read` no da `write`
ni `ai`, y `write` no da `ai`.

Además, los scopes **acotan**, no amplían el rol que ya tienes. Una key con `write`
sigue sin poder completar una actividad si tú no eres capitán ni staff de ese
equipo: la key hereda tu rol, no lo mejora.

## Revocar

Desde la misma pantalla. La revocación es inmediata: la siguiente petición con esa
key devuelve `401`.

Si alguna vez filtras una key sin querer — un commit, un log, una captura —
revócala y genera otra. No hay ningún estado que se pierda al hacerlo.

## OAuth

Si estás conectando una aplicación en vez de un script, Notiq también es un
Authorization Server de OAuth 2.1. Los clientes MCP lo descubren solos; no hay nada
que configurar. Ver [Conectar tu IDE](/docs/conectar-tu-ide).
