Skip to main content

Bearer Token

Todos los endpoints de Cobrix requieren autenticación mediante Bearer Token. El token debe enviarse en el header Authorization de cada request. 
Authorization: Bearer tu_access_token

Obtener Access Token

Para obtener tu access token, debes autenticarte usando el endpoint /auth/login: 
curl -X POST "https://sandbox-api.cobrix.co/api/auth/login" \
  -H "Content-Type: application/json" \
  -d '{
    "email": "[email protected]",
    "password": "tu_password"
  }'
Respuesta: 
{
  "accessToken": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...",
  "refreshToken": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...",
  "expiresIn": 3600
}

Renovar Token

Cuando el access token expire, usa el refresh token para obtener uno nuevo: 
curl -X POST "https://sandbox-api.cobrix.co/api/auth/refresh" \
  -H "Content-Type: application/json" \
  -d '{
    "refreshToken": "tu_refresh_token"
  }'

Ejemplo de Request Autenticado

curl -X GET "https://sandbox-api.cobrix.co/api/checkout/plans" \
  -H "Authorization: Bearer tu_access_token"

Seguridad

Nunca expongas tu Access Token:
  • No lo incluyas en código frontend
  • No lo subas a repositorios públicos
  • No lo compartas en logs

Mejores Prácticas

1

Variables de entorno

Almacena el Access Token como variable de entorno:
# .env (nunca subir a git)
COBRIX_ACCESS_TOKEN=tu_access_token_aqui
2

Gitignore

Asegúrate de ignorar archivos sensibles:
# .gitignore
.env
.env.local
.env.production
3

Rotación

Si sospechas que tu token fue comprometido:
  1. Usa el endpoint /auth/logout para invalidar la sesión
  2. Genera un nuevo token con /auth/login
  3. Actualiza tu aplicación

Errores de Autenticación

CódigoErrorCausaSolución
401UNAUTHORIZEDToken faltanteAgregar header Authorization
401INVALID_TOKENToken inválido o expiradoVerificar el token o renovarlo
401TOKEN_EXPIREDToken expiradoUsar refresh token para renovar
403FORBIDDENSin permisos para la acciónVerificar permisos del usuario

Ejemplo de Error

{
  "error": "UNAUTHORIZED",
  "message": "Invalid or expired token",
  "requestId": "req_abc123"
}

Webhook Secret

Además del Access Token, recibirás un Webhook Secret para verificar la autenticidad de los webhooks: 
COBRIX_WEBHOOK_SECRET=whsec_abc123def456ghi789
El Webhook Secret es diferente del Access Token. Se usa exclusivamente para verificar firmas de webhooks entrantes.
Ver Verificación de Webhooks para más detalles.