Autenticación
La API de SalesOS utiliza Auth0 como proveedor de identidad y tokens JWT (JSON Web Tokens) para autenticación. Todas las solicitudes a la API deben incluir un token de acceso válido.
Flujo de autenticación
Obtén un token de acceso
Autentícate con Auth0 para obtener un token JWT. El método varía según el tipo de integración.
Incluye el token en tus solicitudes
Envía el token en el header Authorization de cada solicitud:Authorization: Bearer eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9...
Renueva el token
Los tokens tienen un tiempo de expiración. Usa el refresh token para obtener uno nuevo antes de que expire.
Métodos de autenticación
Client Credentials
Authorization Code
Para integraciones servidor a servidor
Ideal para backends, scripts y automatizaciones que no requieren interacción del usuario.curl -X POST https://auth.play2sell.com/oauth/token \
-H "Content-Type: application/json" \
-d '{
"client_id": "TU_CLIENT_ID",
"client_secret": "TU_CLIENT_SECRET",
"audience": "https://api.play2sell.com",
"grant_type": "client_credentials"
}'
{
"access_token": "eyJhbGciOi...",
"token_type": "Bearer",
"expires_in": 86400
}
Para aplicaciones con interfaz de usuario
Ideal para aplicaciones web o móviles donde el usuario inicia sesión.
- Redirige al usuario a la página de login de Auth0
- El usuario se autentica
- Auth0 redirige de vuelta con un código de autorización
- Intercambia el código por un token de acceso
Estructura del token JWT
El token JWT contiene información sobre el usuario autenticado:
{
"sub": "auth0|user123",
"iss": "https://auth.play2sell.com/",
"aud": "https://api.play2sell.com",
"exp": 1709337600,
"iat": 1709251200,
"scope": "read:leads write:leads read:opportunities"
}
| Campo | Descripción |
|---|
sub | Identificador único del usuario |
iss | Emisor del token (Auth0) |
aud | Audiencia (API de SalesOS) |
exp | Fecha de expiración (Unix timestamp) |
scope | Permisos otorgados al token |
Scopes disponibles
| Scope | Descripción |
|---|
read:leads | Leer datos de leads |
write:leads | Crear y editar leads |
read:opportunities | Leer datos de oportunidades |
write:opportunities | Crear y editar oportunidades |
read:users | Leer datos de usuarios |
admin | Acceso administrativo completo |
Nunca expongas tu client_secret en código del lado del cliente (frontend). Para aplicaciones con interfaz de usuario, usa el flujo de Authorization Code con PKCE.
Implementa la renovación automática del token antes de que expire para evitar interrupciones en tu integración.
Próximos pasos
