Autenticación

Scopes

Cada endpoint exige un scope, y un token solo lleva lo que se le concedió. Los usuarios ven los scopes exactos que pide una app: solicita el mínimo que necesites.

Scopes disponibles

ScopeDa acceso a
profile:readNombre visible, nombre de usuario, unidades, género, altura, objetivo
workouts:readHistorial de entrenamientos, detalle del entrenamiento (ejercicios y series), plantillas de entrenamiento
records:readRécords personales (1RM, peso, volumen, repeticiones, duración, distancia)
measurements:readPeso corporal y medidas de circunferencia
stats:readRachas, XP total y trofeos
splits:readSplits de entrenamiento personalizados
exercises:readLos catálogos globales de ejercicios y equipamiento

Hoy la API es de solo lectura: no hay scopes de escritura. El acceso de escritura se introducirá como scopes nuevos y explícitos, nunca incorporado en silencio a los existentes.

Aplicación

Los scopes se aplican en el servidor en cada petición. Llamar a un endpoint para el que tu token no tiene scope devuelve 403 con un cuerpo problem-details:

GET /api/v1/measurements
Authorization: Bearer gat_…   (granted: workouts:read stats:read)

HTTP/1.1 403 Forbidden
{
  "status": 403,
  "title": "Missing scope",
  "detail": "This authorization is missing the 'measurements:read' scope."
}

Valores por defecto

Tipo de tokenScopes por defecto
Token personalTodos los scopes, salvo que los acotes al crearlo: son tus propios datos.
App OAuthSolo los scopes registrados para tu app y consentidos por el usuario.
Conexión MCPUn conjunto fijo de scopes concedido al conectar tu cuenta; se aplica en cada llamada a herramienta.