Bearer Token
Todos los endpoints de Cobrix requieren autenticación mediante Bearer Token. El token debe enviarse en el header Authorization de cada request.
Authorization: Bearer tu_access_token
Obtener Access Token
Para obtener tu access token, debes autenticarte usando el endpoint /auth/login:
curl -X POST "https://sandbox-api.cobrix.co/api/auth/login" \
-H "Content-Type: application/json" \
-d '{
"email": "[email protected]",
"password": "tu_password"
}'
{
"accessToken": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...",
"refreshToken": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...",
"expiresIn": 3600
}
Renovar Token
Cuando el access token expire, usa el refresh token para obtener uno nuevo:
curl -X POST "https://sandbox-api.cobrix.co/api/auth/refresh" \
-H "Content-Type: application/json" \
-d '{
"refreshToken": "tu_refresh_token"
}'
Ejemplo de Request Autenticado
curl -X GET "https://sandbox-api.cobrix.co/api/checkout/plans" \
-H "Authorization: Bearer tu_access_token"
Seguridad
Nunca expongas tu Access Token:
- No lo incluyas en código frontend
- No lo subas a repositorios públicos
- No lo compartas en logs
Mejores Prácticas
Variables de entorno
Almacena el Access Token como variable de entorno:# .env (nunca subir a git)
COBRIX_ACCESS_TOKEN=tu_access_token_aqui
Gitignore
Asegúrate de ignorar archivos sensibles:# .gitignore
.env
.env.local
.env.production
Rotación
Si sospechas que tu token fue comprometido:
- Usa el endpoint
/auth/logout para invalidar la sesión
- Genera un nuevo token con
/auth/login
- Actualiza tu aplicación
Errores de Autenticación
| Código | Error | Causa | Solución |
|---|
| 401 | UNAUTHORIZED | Token faltante | Agregar header Authorization |
| 401 | INVALID_TOKEN | Token inválido o expirado | Verificar el token o renovarlo |
| 401 | TOKEN_EXPIRED | Token expirado | Usar refresh token para renovar |
| 403 | FORBIDDEN | Sin permisos para la acción | Verificar permisos del usuario |
Ejemplo de Error
{
"error": "UNAUTHORIZED",
"message": "Invalid or expired token",
"requestId": "req_abc123"
}
Webhook Secret
Además del Access Token, recibirás un Webhook Secret para verificar la autenticidad de los webhooks:
COBRIX_WEBHOOK_SECRET=whsec_abc123def456ghi789
El Webhook Secret es diferente del Access Token. Se usa exclusivamente para verificar firmas de webhooks entrantes.
