Saltar al contenido
Studeia Docs
AI-assisted translation — last updated 2026-06-22. For original (pt-BR or en-US), use the language switcher.

Webhooks y rate limits de la API pública

Cómo funcionan los webhooks y los rate limits de la API de Studeia: tiers de límite, headers de control, automatizaciones con webhooks de entrada/salida y prevención de SSRF.

2026-06-22 7 min
Resposta curta

La API de Studeia aplica rate limits por tier de clave: standard (1.000 req/hora, 100/min), high (5.000/hora, 300/min) y custom — cada respuesta incluye headers con el límite y el restante. Los webhooks de salida se configuran mediante automatizaciones (disparador de evento → acción send_webhook → POST en tu URL), y los webhooks de entrada tienen token único en /api/automations/webhook/[token] para activar flujos desde sistemas externos. Los webhooks de salida cuentan con prevención de SSRF: IPs privadas, localhost y metadatos están bloqueados.

La API de Studeia controla la frecuencia de llamadas con rate limits y permite la integración orientada a eventos mediante webhooks (de entrada y de salida). Esta guía cubre ambos.

Respuesta rápida

  • Rate limits por tier: standard, high y custom — con headers de control
  • Webhooks de salida: mediante automatizaciones (evento → send_webhook → tu URL)
  • Webhooks de entrada: token único en /api/automations/webhook/[token]
  • SSRF prevention: IPs privadas/localhost/metadatos están bloqueados

Rate limits

Los límites dependen del tier de la clave de API:

TierReq/horaBurst/min
standard1.000100
high5.000300
customConfigurablecustom

Cada respuesta autenticada por API key incluye headers que indican el límite y el restante. Maneja el caso de límite excedido con backoff (esperar y volver a intentar después), en lugar de reintentar de inmediato.

Webhooks de salida (eventos → tu URL)

Para recibir eventos en tiempo real, configura una automatización:

  1. Disparador: un evento de la plataforma (finalización de clase, matrícula, calificación, inactividad, etc.).
  2. Condición (opcional): filtros sobre el evento o el usuario.
  3. Acción: send_webhook envía un POST a tu URL con los datos del evento.

Así puedes integrar con CRM, Slack, hojas de cálculo y sistemas propios sin necesidad de consultar la API constantemente (polling).

Webhooks de entrada (activar automatizaciones)

Cada automatización de tipo webhook recibe un token de 64 caracteres y una URL pública:

POST /api/automations/webhook/TU_TOKEN
Content-Type: application/json

{ "cualquier": "payload" }

El POST activa la automatización, y el cuerpo JSON se pasa como datos del evento — útil para iniciar flujos desde sistemas externos (ej.: pago aprobado).

Seguridad (SSRF prevention)

Los webhooks de salida no pueden apuntar a:

  • IPs privadas (IPv4 e IPv6) y localhost.
  • Endpoints de metadatos (ej.: 169.254.169.254).
  • Notaciones alternativas (octal, hexadecimal, mapeos).

Esto impide que las automatizaciones sean utilizadas para acceder a recursos internos de la red. Usa siempre URLs públicas y válidas, con timeout gestionado.

Buenas prácticas

  1. Respeta los rate limits (usa los headers + backoff).
  2. Valida el origen de los webhooks de entrada (token secreto).
  3. Maneja la idempotencia (pueden ocurrir reenvíos).
  4. No expongas tokens de webhook públicamente.

Preguntas frecuentes

¿Cuáles son los rate limits? standard 1.000/h, high 5.000/h, custom — con headers.

¿Cómo recibo eventos? Mediante automatización con acción send_webhook.

¿Tiene webhook de entrada? Sí — token único en /api/automations/webhook/[token].

¿Puede apuntar a cualquier URL? No — SSRF prevention bloquea IPs privadas/metadatos.

Consulta la autenticación de la API y las automatizaciones.

FAQ

¿Cuáles son los límites de solicitud (rate limits) de la API?

Los límites dependen del tier de la clave: standard (1.000 req/hora, 100/min), high (5.000 req/hora, 300/min) y custom (configurable). Cada respuesta autenticada por API key incluye headers con el límite y el restante, para que puedas ajustar la frecuencia de las llamadas y evitar bloqueos.

¿Cómo recibo eventos de Studeia en tiempo real (webhooks de salida)?

A través de las automatizaciones: configura una automatización con disparador de evento (finalización de clase, matrícula, calificación, etc.) y la acción send_webhook, que envía un POST a tu URL cuando ocurre el evento. Así puedes integrar con CRM, Slack, hojas de cálculo y otros sistemas sin polling.

¿Studeia tiene webhooks de entrada (para activar automatizaciones)?

Sí. Cada automatización de tipo webhook recibe un token único y una URL pública (/api/automations/webhook/[token]). Un POST en esa URL activa la automatización, pasando el cuerpo JSON como datos del evento — útil para activar flujos desde sistemas externos.

¿Los webhooks de salida pueden apuntar a cualquier URL?

No. Existe prevención de SSRF: las URLs que apuntan a IPs privadas, localhost y endpoints de metadatos están bloqueadas (IPv4 e IPv6, incluyendo notaciones alternativas). Esto evita que las automatizaciones sean utilizadas para acceder a recursos internos de la red. Usa siempre URLs públicas y válidas.

Veja tambem

Webhooks y rate limits de la API pública