Metodo de Autenticación

Para utilizar los API de carga de ficheros de la CNMC es necesaria una autenticación con el el sistema que nos otorgue los privilegios necesarios para operar con el sistema.

Existen dos métodos diferentes:

  • Autenticación con certificado.
  • Autenticación de API con OAuth.

Los permisos asociados para cada método dependerán del procedimiento al que se acceda por lo que es necesario estar dado de alta en dicho procedimiento y tener el rol adecuado.

Consulte el método de solicitud de credenciales correspondiente en:

Autenticación con certificado

Como método alternativo de identificación se proporciona la autenticación con certificado electrónico de cliente.

En estos enlaces se puede consultar su significado y algún detalle técnico:

Este sistema permite identificar a la persona que se conecta al servicio, a diferencia el método OAuth que es una identificación de empresa. La única excepción son los certificados "de sello" o "no personales" que sólo incluyen el identificador de la empresa para la que están emitidos, aunque lleven información de contacto.

El API utiliza la identificación de persona física del certificado (NIF) para comprobar en el registro de habilitación de la CNMC la capacidad de operar de esa persona en el procedimiento elegido. Si el certificado es de representante, igualmente, se verificará la habilitación del NIF del representante. Si el certificado está emitido a una persona jurídica debe estar relacionado también como habilitado en dicha entidad jurídica.

Por lo tanto los campos indicados como nifPresentador y nifEmpresa del resto de llamadas al API deben estar relacionados con el certificado electrónico empleado en la identificación o se devolverá un mensaje de error de acceso "403 Forbidden". De nuevo, los certificados de sello al sólo identificar a la empresa sólo añaden esa restricción y se podrá utilizar cualquiera de los nifPresentador de los contactos asociados a dicha empresa.

La aplicación web de carga Cargador incluye esta funcionalidad, como se puede ver en las siguientes pantallas:

Paso 1. Solicitud del certificado del presentador:

seleccionar un certificado

Paso 2. Los campos nif Presentador y nif Empresa son autocompletados a partir de la información del certificado.

rellenar campos de NIF

Autenticación de API con OAuth

¿Qué es?

OAuth 1.0a define un protocolo que permite a los usuarios de aplicaciones autorizar a aplicaciones que consuman sus APIs sin necesidad de que las contraseñas viajen en las peticiones.

Implementación

La implementación concreta que se utiliza es autenticación en un sólo paso, por lo que no es necesaria la obtención de claves adicionales (request_token o access_token), se puede seguir una explicación aquí:

Pruebas

En la consola de pruebas: https://apipre.cnmc.gob.es/. Se pueden ver todos los parámetros, puesto que utiliza autenticación OAuth.

¿Cómo autenticar solicitudes al API de la sede electrónica con el protocolo OAuth?

Guía detallada

Intentamos acceder al recurso securizado:

https://api.cnmc.gob.es/test/v1/echoseguro?m=Estoesunaprueba
  1. El responsable de la aplicación cliente ha debido solicitar previamente, a través de la sede electrónica, sus credenciales o datos de autorización, por ejemplo: customerKey=dpf43f3p2l4k3l03 customerSecret=kd94hf93k423kf44
  2. El cliente también no necesita ejecutar el flujo OAuth y debe usar: access token = null y token secret = null
  3. Para firmar la petición, el cliente debe usar el algoritmo HMAC-SHA1
  4. Y este genera la siguiente: nonce string kllo9940pd9333jh y este timestamp 1191242096

  5. Los parámetros a enviar, incluyendo los utilizados por el propio servicio, quedan de la siguiente manera:

    Los parámetros OAuth se pueden enviar, esto es para la generación de la firma, como un authentication header (http://tools.ietf.org/html/rfc5849#section-3.5.1).

  6. Estos parámetros se transforman siguiendo el RFC de OAuth (http://tools.ietf.org/html/rfc5849#section-3.5) siguiendo los siguientes pasos:
    1. Codificación de los mismos en UTF-8.

    2. Codificar los parámetros siguiendo URL-Encoding (http://en.wikipedia.org/wiki/Percent-encoding http://tools.ietf.org/html/rfc5849#section-3.6).

      Se ordenan basados en su codificación por URL-Encoding

  7. Una vez transformados se concatenan en una QueryString:

  8. Se normaliza la URL de la petición utilizando la especificación: http://tools.ietf.org/html/rfc5849#section-3.4.1.2 Ej.:
    • Full URL: https://api.cnmc.gob.es/test/v1/echoseguro
    • Normalized URL: https://api.cnmc.gob.es/test/v1/echoseguro

  9. Para crear la "Signature Base String" se concatenan todas estas partes precedidas del método HTTP solicitado, que es una parte muy importante en los servicios REST:

  10. Para calcular la firma HMAC-SHA1 usamos dos claves: client secret y token secret para el key del algoritmo HMAC-SHA1. Cada clave se codifica con: UTF8-encoded, URL-encoded y se concatena en una única cadena usando '&' como separador, aunque estén vacíos (ver seccion 3.4.2).

  11. Con la "Signature Base String", el texto HMAC-SHA1 concatenamos las claves, el cliente deberá generar la firma (RFC seccion 3.4.2). El algoritmo HMAC-SHA1 genera una cadena de bytes. Debe estar codificada base64-encoded con '=' para asegurar el "padding" (ver RFC 2045 seccion 6.8):

  12. La firma calculada es entonces añadida a la petición usando el parámetro 'oauth_signature'. Una vez esta firma haya sido verificada por el servidor ya no se debe incluir en el flujo de firma y no es parte de "Signature Base String". Cuando se incluya en la cabecera HTTP debe estar codificada del mismo modo que se transmiten el resto de parámetros.

  13. Aunque OAuth no especifica directamente cómo se deben incluir estos parámetros en la petición, al definirlos en la firma para su verificación por el "Service Provider" implícitamente indica cuáles deben incluirse en la petición.

    Los parámetros OAuth pueden incluirse en uno de estos lugares:

    1. URL query (ver RFC 3986 seccion 3),
    2. OAuth 'Authorization' header (ver seccion 3.5.1),
    3. En un single-part 'application/x-www-form-urlencoded' POST body (como se define en HTML4).

    Los parámetros firmados non-OAuth pueden incluirse de alguna de estas formas:

    1. Como un elemento de la URL query.
    2. En un single-part 'application/x-www-form-urlencoded' POST body.

    Se recomienda que cuando sea posible los parámetros OAuth se incluyan en OAuth 'Authorization' header y no se incluyan más parámetros en el header.

Usando URL query para los parámetros non-OAuth y OAuth 'Authorization' header para OAuth la petición OAuth-signed HTTP queda así:

Documentación Relacionada

logo fondo oscuro cnmc

Copyright © CNMC 2026. Todos los derechos reservados.

imagen bot

Hola, soy Ariadna

¿Puedo ayudarle en algo?