> ## Documentation Index
> Fetch the complete documentation index at: https://docs-attestly.code4source.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Autenticación

> Envía tu API key como Bearer token. Eso es todo.

```http theme={null}
POST /v1/evaluate HTTP/1.1
Host: api-attestly.code4source.com
Authorization: Bearer atk_live_4eC39HqLyjWDarjtT1zdp7dcrYx2bfBNxxxxxxxx
Content-Type: application/json
```

Sin OAuth, sin token endpoint, sin refresh.

## Verificaciones por request

Cada llamada pasa por tres chequeos, en orden:

1. **Autenticación** — el bearer debe ser una `atk_*` válida emitida
   para tu Organización.
2. **Subscription** — tu contrato debe estar activo. Subscription
   expirada o suspendida devuelve `402 SUBSCRIPTION_INACTIVE`.
3. **Quota** — debes estar dentro del tope mensual contratado.
   Pasaste: `429 QUOTA_EXCEEDED`.

Ver [Errores](/es/reference/errors) y [Quotas](/es/reference/quotas)
para los formatos de respuesta y headers.

## Buenas prácticas de seguridad

* Guarda las claves en un secret manager. Nunca commitees, nunca
  loguees, nunca pongas en query string de URL.
* Una clave por entorno (`production`, `staging`, `ci`). Si una se
  filtra, el daño queda contenido.
* Rota en cambios de personal y al menos anualmente. La rotación es
  zero-downtime: pide una nueva clave, despliega, pide revocar la
  antigua.
* ¿Sospechas de fuga? Email `security@attestly.io`. La revocación
  propaga en milisegundos.
