Open API

Crear y gestionar tus tokens de acceso

Genera tokens de acceso a la API, elige sus permisos y protege tus integraciones con tokens de solo lectura.

2 min de lecturaActualizado el 1 de julio de 2026

Un token (o token de acceso) es la llave que autoriza a una herramienta a dialogar con la API Shyfter. Cada integración usa su propio token, con sus propios derechos. Gestionar bien tus tokens es mantener el control de quién accede a qué, y poder cortar un acceso en cualquier momento.

Crear un token

Desde la plataforma Open API, abre la sección API Tokens y crea un nuevo token. Puedes generarlos para un uso personal o para un integrador de terceros. Cada token lleva un nombre, lo que te permite saber fácilmente a qué herramienta corresponde.

Elegir los permisos

Al crear un token, decides con precisión a qué da acceso. Los permisos corresponden a los grandes ámbitos de Shyfter, por ejemplo:

  • el horario (turnos y planificación);
  • el fichaje (seguimiento del tiempo);
  • las secciones;
  • las competencias;
  • los contratos;
  • la gestión de ausencias;
  • los atributos personalizados;
  • la productividad (facturación).

Un token solo puede acceder a los ámbitos que le hayas concedido. Los permisos se aplican a nivel de la cuenta (valen para todos los departamentos a los que el token tiene acceso).

Los tokens de solo lectura

Puedes marcar un token como solo lectura. Entonces solo podrá consultar los datos, nunca modificarlos. Es el buen reflejo para una integración que solo necesita recuperar información (un panel de control, una exportación), para evitar cualquier modificación accidental.

Buenas prácticas de seguridad

  • Crea un token por integración: así puedes revocar uno sin afectar a los demás.
  • Da el mínimo de permisos necesario para cada uso.
  • Prioriza la solo lectura siempre que la herramienta no necesite escribir.
  • Elimina de inmediato un token que ya no se use o que haya podido quedar expuesto.

Bueno saber sobre los límites

Para preservar la estabilidad del servicio, la API aplica un límite de 60 peticiones por minuto y por token. Si tus herramientas superan ese ritmo, las peticiones de más se rechazan temporalmente: es mejor espaciar las llamadas. En caso de error inusual, cada respuesta contiene un identificador de seguimiento que el soporte puede utilizar para ayudarte.

Un token es un dato sensible, igual que una contraseña. No lo compartas nunca en claro ni lo escribas en un lugar público.

¿Este artículo respondió a tu pregunta?