Delivery Access Token
Última actualización: 22 de junio de 2026
El DeliveryAccessToken es un token de solo lectura que se usa para leer contenido publicado desde CDA (entrega pública). El navegador de un sitio web o una aplicación llama a CDA con este token al obtener el contenido publicado. Al emitirlo, se vincula a un único SpaceRole, y ese rol define el alcance de lectura del token (qué Content Type puede leer).
En CMA, el DeliveryAccessToken es un recurso secundario de Space, y su ruta se basa en /spaces/{spaceId}/delivery-access-tokens. Como este token opera expuesto en el navegador (cliente), el rol al que se vincule debe definirse con el privilegio mínimo (least-privilege), de modo que solo lea los Content Type necesarios (consulta Seguridad: vinculación con privilegio mínimo más abajo).
Estructura del recurso
A continuación se muestra la respuesta al crear un DeliveryAccessToken. En sys (propiedades del sistema) se incluyen el valor del token y su alcance, y en el cuerpo están name y description.
{
"sys": {
"id": "3trmXRM3RqbgSnifyg7PUFQuOAqWOc",
"type": "DeliveryAccessToken",
"space": { "sys": { "id": "HnQ32YiH", "type": "Refer", "targetType": "Space" } },
"createdBy": { "sys": { "id": "3trmXRM3RqbgSnifyg7PUFQsSPi0nt", "type": "Refer", "targetType": "User" } },
"createdAt": "2026-06-18T09:24:23.156Z",
"updatedBy": { "sys": { "id": "3trmXRM3RqbgSnifyg7PUFQsSPi0nt", "type": "Refer", "targetType": "User" } },
"updatedAt": "2026-06-18T09:24:23.156Z",
"accessToken": "DVRATbQ8mX2vK9pLs7Rf1Zt0Nc4Wd6Hg5Ua2Ee9Ck3PoYx8Bj6Hg5Ua2Ee9Ck3Po…",
"scopes": ["DELIVERY"]
},
"description": "Token de entrega de solo lectura para el sitio público de la tienda de ropa",
"name": "Entrega pública del sitio web"
}Claves principales:
sys.id: identificador único del DeliveryAccessToken. Se introduce en{deliveryAccessTokenId}de las rutas de consulta, modificación y eliminación individuales.sys.accessToken: valor del token secreto que se usa en las llamadas a CDA. Como aparece con el mismo valor incluso al consultarlo tras la emisión, hay que tener cuidado con su exposición (consulta la sección de seguridad más abajo).sys.scopes: alcance de permisos del token. El DeliveryAccessToken siempre es["DELIVERY"]al emitirse.name: nombre del token indicado al crearlo (por ejemplo,Entrega pública del sitio web).description: descripción del token (opcional).
El accessToken del ejemplo anterior es un valor secreto, por eso se ha sustituido por una cadena de ejemplo. En realidad es una cadena larga y opaca, y aparece con el mismo valor aunque se vuelva a consultar después de la emisión.
Propiedades del sistema (sys)
Todo DeliveryAccessToken incluye en el objeto sys las propiedades de sistema comunes y las propiedades propias del token. space, createdBy y updatedBy se incluyen con forma Refer ({ "sys": { "id", "type": "Refer", "targetType" } }).
| Propiedad | Tipo | Descripción |
|---|---|---|
id | string | Identificador único del recurso. |
type | string | Tipo de recurso. El DeliveryAccessToken siempre es "DeliveryAccessToken". |
space | Refer<Space> | Space al que pertenece este token. |
createdBy | Refer<User> | Usuario que lo creó. |
createdAt | string (date-time) | Fecha y hora de creación. |
updatedBy | Refer<User> | Último usuario que lo modificó. |
updatedAt | string (date-time) | Fecha y hora de la última modificación. |
accessToken | string | Valor del token secreto que se usa en las llamadas a CDA. Como aparece igual al consultarlo tras la emisión, debe manejarse de forma que no quede expuesto al exterior. |
scopes | string array | Alcance de permisos del token. El DeliveryAccessToken siempre es ["DELIVERY"]. |
Propiedades del cuerpo:
| Propiedad | Tipo | Descripción |
|---|---|---|
name | string (1~64) | Nombre del token. Se indica al crearlo. |
description | string (≤128) | Descripción del token. Es opcional. |
Seguridad: vinculación con privilegio mínimo
El DeliveryAccessToken es un token que llama a CDA expuesto al navegador y a los visitantes. Por eso, el SpaceRole al que se vincule constituye el límite de seguridad de este token.
- En el
rolede la petición de creación se introduce elsys.iddel SpaceRole con privilegio mínimo que solo lee los Content Type necesarios. Para la entrega pública se recomienda un rol de solo lectura. - No vincules nunca el rol
Administrator. Como este token queda expuesto en el cliente, vincular un rol con permisos de administración filtraría esos permisos directamente al exterior. Además, no uses sin querer el primer elemento de la lista de SpaceRole; especifica de forma explícita elsys.iddel rol con privilegio mínimo que pretendes. - El
accessTokenes un valor secreto que se consulta con el mismo valor incluso después de la emisión. Inyéctalo de forma segura en la compilación del cliente, pero no lo expongas tal cual al exterior.
(Fuente: skill y regla weegloo-delivery-access-token.)
API
La URL base de todos los endpoints siguientes es https://cma.weegloo.com/v1, y se requiere un token Bearer que autentique en CMA en la cabecera Authorization. La modificación y la modificación parcial del DeliveryAccessToken no requieren la cabecera X-Weegloo-Version.
Documentos relacionados
- SpaceRole: define el rol (alcance de lectura) que se vincula a este token.
- Resumen de CDA: la API de entrega que lee el contenido publicado con este token.
- Personal Access Token: token de Weegloo User para servidores y CI.
