Scopes OAuth
Cómo verxion controla lo que tu agente puede leer, escribir y eliminar.
verxion usa scopes OAuth para decidir qué puede hacer un agente en tu nombre. Cada llamada a una tool está gateada por los scopes que lleva el token — el agente no puede escalar, y puedes emitir tokens con permisos reducidos cuando quieras.
El modelo de scopes
Cinco grupos de recursos, tres niveles de permiso cada uno — quince scopes en total.
| Recurso | Qué cubre |
|---|---|
| workouts | Rutinas, programas, sesiones, set logs, advanced sets, cardio, pasos |
| nutrition | Diet plans, meal logs, recetas, alimentos personalizados, suplementos, agua |
| profile | Cuenta, perfil de atleta, medidas, peso, datos corporales, ajustes |
| social | Follow, leaderboards, showcases, perfiles públicos |
| notes | Anotaciones sobre sesiones, ejercicios o días de dieta |
Los tres niveles
| Nivel | Qué permite |
|---|---|
<recurso>.read | Ver los datos |
<recurso>.write | Crear y actualizar entradas |
<recurso>.destructive | Eliminar entradas de forma permanente |
Los niveles son acumulativos. Un token con workouts.write también puede leer; uno con workouts.destructive puede leer y escribir.
Cómo se emiten los scopes
La página de setup te entrega un snippet con el set de scopes por defecto — los scopes habituales para uso normal sobre los cinco grupos de recursos, al nivel write (no destructive).
Si quieres otro set:
- Solo lectura: elige el snippet de solo lectura en la página de setup. Tu agente puede responder preguntas pero no puede cambiar nada.
- Custom: contacta con soporte — los bundles de scopes a medida están disponibles bajo petición.
Qué significa esto en la práctica
- No puedes eliminar datos por accidente a través de tu agente a menos que hayas optado explícitamente por scopes
destructive. El default no los incluye. - Puedes entregar un token de solo lectura a un agente que estés probando sin riesgo.
- Los fallos de scope devuelven un error claro — si el agente intenta
workouts.destructivecon un tokenworkouts.write, la llamada falla inmediatamente y el agente ve un error de permiso.
Revocar acceso
Cierra sesión desde la página de setup para invalidar el token actual. Genera un snippet nuevo y actualiza el config de tu cliente cuando quieras reconectar. Nunca compartimos ni persistimos tokens más allá de la sesión que los emitió.