Bearer token hardcodeado en n8n
Por qué los bearer tokens en headers HTTP exponen tu acceso API a cualquiera con acceso al workflow
¿Qué es este problema?
Un bearer token hardcodeado en headers de solicitud HTTP es visible para cualquiera que pueda ver el workflow. Cuando exportas, compartes o subes el workflow, el token va con él—dando a otros acceso completo a tu API.
Patrones comunes detectados:
•Authorization: Bearer eyJhbGciOi... en headers HTTP Request•X-API-Key: sk-... en headers personalizados•Access tokens copiados directamente de docs de API•Tokens OAuth almacenados como valores de header
¿Por qué es peligroso?
Exposición de token
Cualquiera con acceso de lectura al workflow puede copiar y usar tu bearer token.
Riesgos de exportación
Los archivos JSON de workflow exportados contienen el token en texto plano.
Fugas en control de versiones
Tokens subidos a repositorios Git permanecen en el historial incluso después de borrarlos.
No portabilidad
Workflows con tokens hardcodeados no pueden compartirse o moverse entre entornos.
Cómo solucionarlo
- 1
Crear credencial n8n
Ve a Configuración → Credenciales y crea una credencial HTTP Header Auth o API Key.
- 2
Referenciar credencial en nodo
En el nodo HTTP Request, selecciona la credencial del dropdown de Authentication en lugar de headers manuales.
- 3
Eliminar token hardcodeado
Elimina el header Authorization del nodo después de configurar auth basado en credenciales.
- 4
Rotar tokens expuestos
Si el workflow fue compartido, considera el token comprometido y genera uno nuevo.
Escanea tu workflow ahora
Sube tu archivo JSON de n8n y detecta bearer tokens y claves API en headers HTTP.