Conexión y Autenticación
Todas las peticiones a la API deben realizarse mediante HTTPS. La autenticación se gestiona a través de un API Key único proporcionado para tu integración, reemplazando el uso de credenciales (login/password).
Encabezados Requeridos
Para autenticar cada petición, incluye los siguientes encabezados:
| Encabezado | Valor Ejemplo | Descripción |
|---|---|---|
X-API-KEY | TU_API_KEY_AQUI | Tu credencial única de acceso |
Content-Type | application/json | Formato del cuerpo de la petición |
Accept | application/json | Formato de respuesta esperado |
tip
Se recomienda mantener tu X-API-KEY seguro y no exponerlo en código cliente (ej. frontend público sin backend intermedio).
Restricciones de Seguridad
Para garantizar la seguridad de las integraciones, el sistema aplica las siguientes validaciones en cada petición:
- Validación de Dominio: Si la petición incluye el encabezado
Origin, el servidor verificará si el dominio de origen está permitido en la configuración de la API Key. Las peticiones desde dominios no permitidos recibirán un error403 Forbidden. - Validación de IP: El sistema valida que la petición provenga de una dirección IP autorizada. Las peticiones desde IPs no autorizadas recibirán un error
403 Forbidden. - Estado de la Empresa: La empresa asociada a la API Key debe estar activa. Si la cuenta se encuentra bloqueada, se denegará el acceso con código
403.
Flujo de Pago (Diagrama de Secuencia)
El siguiente diagrama ilustra el proceso completo desde la generación del QR hasta la recepción de la notificación de pago.