Saltar al contenido principal
El CLI resuelve las credenciales desde cuatro fuentes, en este orden:
PrioridadFuenteDónde se encuentra
1 (más alta)Flag de línea de comandos--bearer-auth en cualquier comando
2Variable de entornoMKA1_BEARER_AUTH en tu shell
3Llavero del sistema operativoKeychain de macOS, GNOME Keyring / KWallet, Credential Locker de Windows
4 (más baja)Archivo de configuración~/.config/mka1/config.yaml
Las fuentes de mayor prioridad prevalecen cuando hay más de una configurada. Usa flags para comandos puntuales, variables de entorno para CI y el llavero para tu estación de trabajo.

1. Flag de línea de comandos

Pasa las credenciales directamente en cualquier comando: 
mka1 --bearer-auth 'Bearer <mka1-api-key>' llm models list

2. Variable de entorno

Establece el token una vez en tu shell (o en el job de CI): 
export MKA1_BEARER_AUTH="Bearer <mka1-api-key>"

mka1 llm responses create --model meetkai:functionary-es-mini --input '"Hello"'
mka1 auth whoami etiquetará el valor como [env] para que puedas ver de dónde proviene.

3. Llavero del sistema operativo (recomendado para estaciones de trabajo)

Ejecuta el inicio de sesión interactivo una vez. El CLI solicitará tu clave API y la guardará en el almacén de secretos de tu sistema operativo: 
mka1 auth login
Los secretos se almacenan en:
  • macOS: Keychain
  • Linux: GNOME Keyring o KWallet (a través de D-Bus Secret Service)
  • Windows: Credential Locker
Si no hay un llavero disponible — por ejemplo, en un runner de CI sin interfaz gráfica — el CLI recurre de forma transparente al archivo de configuración. En ese entorno, es preferible usar variables de entorno. mka1 configure es equivalente a mka1 auth login y además solicita preferencias no secretas como la URL del servidor por defecto.

4. Archivo de configuración

Los valores predeterminados no secretos (como server-url) se almacenan en ~/.config/mka1/config.yaml. Cuando no hay llavero disponible, el token también se guarda allí. Protege el archivo con permisos del sistema de archivos si dependes de ese mecanismo.

Inspecciona la configuración activa

mka1 auth whoami (o el alias de nivel superior mka1 whoami) imprime cada configuración resuelta y su fuente, con los valores secretos enmascarados: 
mka1 auth whoami
Etiquetas de fuente:
  • [flag] — pasado en la línea de comandos.
  • [env] — leído desde una variable de entorno MKA1_*.
  • [keyring] — almacenado por auth login o configure.
  • [config] — leído desde ~/.config/mka1/config.yaml.
  • [unset] — no configurado.

Borra las credenciales almacenadas

Elimina todas las credenciales tanto del llavero como del archivo de configuración: 
mka1 auth logout
Esto no afecta las variables de entorno — elimínalas con unset MKA1_BEARER_AUTH.

Actúa en nombre de un usuario final

El gateway acepta un encabezado opcional X-On-Behalf-Of: <external-user-id> para que una sola clave API del lado del servidor pueda atribuir el tráfico y aplicar autorización por usuario. Envíalo con -H en cualquier comando: 
mka1 llm responses create \
  --model meetkai:functionary-es-mini \
  --input '"Summarize the support queue for the past 24 hours."' \
  -H 'X-On-Behalf-Of: user-abc456'
Omite el encabezado cuando estés llamando a la API como la cuenta propietaria y no como un usuario final específico. Consulta la guía de autenticación y el análisis detallado para conocer todas las reglas de propagación de encabezados, incluyendo cómo el gateway emite y valida JWTs de intercambio.

Intercambia una clave API por un JWT

Si tus sistemas posteriores esperan un JWT bearer en lugar de una clave API sin procesar, intercambia la clave en tiempo de ejecución: 
mka1 auth api-key get-jwt-from-key --bearer-auth 'Bearer <mka1-api-key>'
La respuesta contiene el JWT de corta duración que puedes reenviar a otros servicios.

Próximos pasos

  • Comandos — ejecuta tus primeros flujos de trabajo una vez autenticado.
  • Depura e inspecciona — usa --dry-run para confirmar qué credenciales y encabezados se enviarían.