Autenticación
API Tokens (Bearer)
Todas las llamadas a /api/v1 requieren un Bearer token en el header Authorization:
Authorization: Bearer tok_live_xxxxxxxxxxxx
Los tokens se generan en Admin → Configuración → API. Tienen dos prefijos:
| Prefijo | Entorno |
|---|---|
tok_live_ | Producción |
tok_test_ | Sandbox |
Tenant Context
Además del token, cada request necesita identificar el tenant mediante:
- Header
X-Tenant-ID: <slug>(recomendado para server-to-server) - Subdominio
mi-tienda.omnibuy.net(para storefront)
curl https://app.omnibuy.net/api/v1/catalog/products \
-H "Authorization: Bearer $TOKEN" \
-H "X-Tenant-ID: mi-tienda"
JWT (Admin Panel)
El panel admin usa JWT de corta duración (15 min) + refresh tokens (7 días). No uses JWTs del panel en integraciones externas — usa API Tokens.
Errores de autenticación
| Código HTTP | Causa |
|---|---|
401 Unauthorized | Token ausente o inválido |
403 Forbidden | Token válido pero sin permisos suficientes |
{
"error": {
"code": "UNAUTHORIZED",
"message": "invalid or expired token"
}
}