Todas las peticiones a la API de Thaliq requieren una API Key para identificar tu tenant.
API Key
Incluye tu API Key en el header X-API-Key:
curl -H "X-API-Key: tq_live_xxx" \
https://api.thaliq.com/api/agent/stream?q=Hola
tq_live_xxxxxxxxxxxxxxxxxxxx
La API Key solo se muestra una vez al crearla. Si la pierdes, crea una nueva y revoca la anterior.
| Header | Requerido | Descripcion |
|---|
X-API-Key | Si | Tu API Key del tenant |
X-Integration-Type | No | widget o sdk. Controla que tools estan disponibles |
X-User-Id | No | ID del usuario final en tu sistema (para tracking) |
X-MCP-Tokens | No | Tokens de autenticacion para MCP Servers (JSON) |
Authorization | No | Bearer token del usuario (passthrough para MCP) |
Tipos de integracion
El header X-Integration-Type controla que tools puede usar el agente:
| Valor | Tools disponibles | Uso tipico |
|---|
widget | Solo tools con requiresAuth: false | Widget en sitios web (usuarios anonimos) |
sdk | Todas las tools | SDK/apps con usuarios autenticados |
| (sin header) | Todas las tools | Platform, uso interno |
Tracking de usuarios
Si quieres que las metricas en la plataforma muestren informacion por usuario, envia el header X-User-Id:
curl -H "X-API-Key: tq_live_xxx" \
-H "X-User-Id: usr_abc123" \
https://api.thaliq.com/api/agent/stream?q=Hola
MCP Token Passthrough
Si tus MCP Servers requieren autenticacion del usuario final, puedes enviar tokens por server ID:
curl -H "X-API-Key: tq_live_xxx" \
-H 'X-MCP-Tokens: {"server-financiero": "eyJhb...", "server-crm": "sk-xxx"}' \
https://api.thaliq.com/api/agent/stream?q=Consulta+mi+saldo
Seguridad
- API Keys son publicas por diseno (visibles en el widget). Solo dan acceso a tools publicas cuando se usa
X-Integration-Type: widget.
- SHA-256: Thaliq almacena solo el hash de la key, no la key original.
- MCP Tokens: Se pasan directamente al MCP Server (passthrough), nunca se almacenan.
- CORS: La API permite peticiones desde cualquier origen.
