Al desarrollar y probar APIs que requieren autenticación, el manejo seguro y eficiente de las claves secretas (API Keys) es fundamental. Es una práctica común que estas APIs esperen la clave en la cabecera Authorization, a menudo en el formato Bearer <TU_CLAVE_SECRETA>.
Para gestionar estas claves, Postman ofrece la funcionalidad de Variables de Entorno. Esto permite almacenar la clave en un entorno específico y referenciarla en las solicitudes mediante una sintaxis como {{nombre_variable}}. Sin embargo, algunos usuarios encuentran que, al intentar usar una variable para la clave en una cabecera Authorization, la API responde con un error 401 Unauthorized, a pesar de que pegar el valor directo de la clave sí funciona.
Este comportamiento confuso generalmente no se debe a un problema de la API o de CORS, sino a la configuración específica necesaria en Postman para el tipo de autenticación Bearer Token.
El siguiente procedimiento detalla la configuración correcta en Postman para utilizar una variable de entorno para su clave API secreta y evitar el error 401:
Paso 1: Configurar la Variable en un Entorno de Postman
- En la interfaz de Postman, seleccione un entorno existente o cree uno nuevo utilizando el menú desplegable en la esquina superior derecha. Los entornos permiten agrupar variables relacionadas.
- Haga clic en el icono del ojo (👁️) junto al nombre del entorno seleccionado para abrir la ventana de gestión de variables.
- Vaya a la pestaña «Variables».
- Añada una nueva variable. En la columna «Variable», introduzca el nombre deseado para su clave API, por ejemplo:
apikey. - En la columna «Current Value» de esta nueva variable, pegue el valor real de su clave API secreta. La columna «Initial Value» es opcional para este fin, pero «Current Value» es crucial.
- Si su versión de Postman lo permite, establezca el «TYPE» de la variable a
secretpara mayor seguridad visual. - Guarde los cambios realizados en el entorno.
(Ejemplo de cómo debería aparecer la variable):
| Variable | Type | Initial Value | Current Value |
|---|---|---|---|
apikey | secret | ************ | su_clave_real_aqui |
Paso 2: Aplicar el Tipo de Autorización Bearer Token en la Solicitud
- Seleccione la solicitud HTTP específica para la cual necesita autenticación. Esto puede ser una solicitud individual o configurar la autorización a nivel de una colección completa.
- Diríjase a la pestaña «Authorization» de la solicitud o colección.
- En el menú desplegable «Type», seleccione
Bearer Token. Este tipo está diseñado específicamente para el esquema de autenticaciónAuthorization: Bearer .... - Se mostrará un campo llamado «Token». En este campo, introduzca el nombre de la variable que creó en el Paso 1, encerrado entre doble llaves:
{{apikey}}.
Paso 3: Verificar que el Entorno Correcto Está Activo
- Confirme que el entorno que contiene la variable
apikeyesté activado en el menú desplegable de entorno, ubicado en la esquina superior derecha de la ventana principal de Postman. Si el entorno correcto no está seleccionado, Postman no podrá encontrar ni resolver la variable{{apikey}}.
Conclusión
Siguiendo estos pasos y configurando la autenticación como «Bearer Token» referenciando la variable {{apikey}}, Postman construirá automáticamente la cabecera Authorization con el formato Bearer [valor_de_apikey], utilizando el valor actual de la variable del entorno activo. Este método no solo es más seguro al mantener la clave separada de la solicitud, sino que también es la forma correcta de indicar a Postman cómo manejar este tipo específico de esquema de autenticación, resolviendo el problema del error 401 que surge al intentar usar la variable directamente en una cabecera custom.