Bearer token
Todas las rutas bajo /api requieren token de la empresa emisora.
Headers obligatorios
Sección titulada «Headers obligatorios»Authorization: Bearer <token_de_acceso>Content-Type: application/jsonAccept: application/jsonDónde obtener el token
Sección titulada «Dónde obtener el token»- Panel admin → usuarios de la compañía (
api_token) - Base de datos: tabla
users, campoapi_token - Respuesta al configurar compañía (flujo Postman · Config-Company)
Buenas prácticas
Sección titulada «Buenas prácticas»- Un token por empresa / integración
- No lo expongas en frontends públicos
- Rota el token si se filtra
- Usa HTTPS en producción
Errores comunes
Sección titulada «Errores comunes»| Síntoma | Causa |
|---|---|
| 401 / no autorizado | Token vacío, mal formado o de otra empresa |
| 422 validación | Body JSON incompleto (no es auth) |
CSRF en /login | Eso es el panel web, no la API REST |
La API REST no usa sesión web ni CSRF; solo Bearer.