Ir al contenido

Bearer token

Todas las rutas bajo /api requieren token de la empresa emisora.

Authorization: Bearer <token_de_acceso>
Content-Type: application/json
Accept: application/json
  1. Panel admin → usuarios de la compañía (api_token)
  2. Base de datos: tabla users, campo api_token
  3. Respuesta al configurar compañía (flujo Postman · Config-Company)
  • Un token por empresa / integración
  • No lo expongas en frontends públicos
  • Rota el token si se filtra
  • Usa HTTPS en producción
SíntomaCausa
401 / no autorizadoToken vacío, mal formado o de otra empresa
422 validaciónBody JSON incompleto (no es auth)
CSRF en /loginEso es el panel web, no la API REST

La API REST no usa sesión web ni CSRF; solo Bearer.