Autenticación
La API Pública utiliza un esquema de autenticación basado en tokens de tienda. Cada tienda (tenant) dispone de un token único que debe enviarse en el encabezado de cada petición protegida.
Encabezado requerido
x-api-token: <tu-token-de-tienda>Incluye este encabezado en todas las peticiones a la API. Si el token está ausente o no es válido, la API responderá con 401 Unauthorized.
Ejemplo de petición autenticada
GET /api/v1/products HTTP/1.1
Host: localhost:4001
x-api-token: sk_live_abc123xyz
Accept: application/jsonRutas públicas (sin token)
Algunas rutas no requieren autenticación porque son callbacks externos de pasarelas de pago:
| Ruta | Descripción |
|---|---|
GET /payments/transbank/confirm | Callback de confirmación de Transbank |
GET /payments/mercadopago/confirm | Callback de confirmación de MercadoPago |
POST /payments/mercadopago/confirm/webhook | Webhook de notificación de MercadoPago |
Estas rutas validan la autenticidad de la transacción directamente con la pasarela correspondiente, no con el token de tienda.
Respuesta de error
Cuando el token está ausente o es inválido:
{
"statusCode": 401,
"message": "Unauthorized"
}