Oleada 5 · Documentación
Autenticación
Dos modelos: sesión JWT para usuarios del panel y API keys pk_ para integraciones servidor a servidor.
Sesión del panel (JWT)
Usuarios humanos inician sesión en el panel. Las respuestas incluyen accessToken (corto) y refreshToken (largo).
Envía el access token en rutas protegidas del panel: Authorization: Bearer <accessToken>
| Método | Ruta | Auth | Descripción |
|---|---|---|---|
| POST | /api/v1/auth/login | Público | Inicio de sesión panel (tenantSlug, email, password) → accessToken + refreshToken. |
| POST | /api/v1/auth/register | Público | Alta de usuario tenant (acepta términos/privacidad/SIC). |
| POST | /api/v1/auth/refresh | Público | Renueva tokens con refreshToken. |
POST https://api.pushslog.com/api/v1/auth/login
Content-Type: application/json
{
"tenantSlug": "mi-marca",
"email": "[email protected]",
"password": "••••••••"
}
# Respuesta (200)
{
"success": true,
"data": {
"accessToken": "eyJ…",
"refreshToken": "eyJ…",
"user": { "id": "…", "email": "…", "role": "…" }
}
}API keys (pk_)
Las integraciones (WooCommerce, scripts, backends propios) usan claves con prefijo pk_. Créalas en el panel: Tiendas → Custom → API personalizada.
Envía la clave en cada request: x-api-key: pk_… o Authorization: Bearer pk_…
El secreto completo solo se muestra al crear la key. Guárdalo en tu gestor de secretos.
| Método | Ruta | Auth | Descripción |
|---|---|---|---|
| GET | /api/v1/tenant/api-keys | Bearer sesión | Lista API keys del tenant (sin secretos). |
| POST | /api/v1/tenant/api-keys | Bearer sesión | Crea pk_… (se muestra una sola vez). |
| DELETE | /api/v1/tenant/api-keys/:apiKeyId | Bearer sesión | Revoca una API key. |
Roles del panel
Cada usuario del tenant tiene un rol (OWNER, ADMIN, OPERATOR, FINANCE, MEMBER). El login devuelve user.role en la respuesta JWT.
Solo OWNER y ADMIN pueden crear o revocar API keys pk_. Operadores y miembros usan el panel según la matriz de permisos.
En el panel: Configuración → Seguridad → Roles y permisos. OWNER y ADMIN gestionan el equipo; OWNER, ADMIN y FINANCE acceden a billetera y COD.
La API valida el rol en rutas sensibles (finanzas, API keys, usuarios del tenant). Un 403 FORBIDDEN indica que tu rol no puede esa acción.
Errores frecuentes
- 401 API_KEY_REQUIRED — falta cabecera x-api-key.
- 403 API_KEY_INVALID — clave revocada o incorrecta.
- 401 INVALID_CREDENTIALS — login panel incorrecto.
Soporte integraciones: escribir a soporte.