Autenticación por cookies
El método más simple. Al iniciar sesión la API establece cookies de sesión que tu cliente HTTP envía automáticamente en cada petición siguiente — sin que necesites manejar tokens.
Tu aplicación debe correr en un dominio autorizado en la configuración CORS de la API. Si no puedes cumplir este requisito, usa Bearer token.
Paso 1: Codifica tus credenciales
Combina tu email y credencial separados por : y codifica en Base64. Puedes usar tu contraseña o tu api_token:
Code
Paso 2: Inicia sesión
Ejemplo de petición:
Code
Ejemplo de respuesta:
Code
La respuesta no incluye tokens en el body, la sesión se maneja a través de las cookies que la API establece automáticamente en los headers de respuesta.
Cookies que se crean
| Cookie | Descripción | Duración |
|---|---|---|
token | Token de sesión | 4 horas |
refresh_token | Renueva la sesión automáticamente | 12 horas |
Las cookies son HttpOnly (no accesibles desde JavaScript), Secure (solo HTTPS) y SameSite=None (permiten peticiones cross-origin desde apps React, Angular, etc.).
Paso 3: Haz tus peticiones
En navegadores y Postman las cookies se envían automáticamente, no necesitas configurar nada adicional. En curl debes pasarlas manualmente:
Code
Renovación de la sesión
El token expira en 4 horas, pero la API lo renueva automáticamente usando el refresh_token. La sesión máxima es de 12 horas; después debes hacer login de nuevo.
Errores comunes
401 — No autorizado
| Causa | Solución |
|---|---|
| La sesión expiró (12 horas) | Vuelve al Paso 2 para iniciar sesión de nuevo |
| Las cookies no se están enviando | Verifica que tu cliente HTTP soporte cookies |
| Dominio no autorizado | Contacta al equipo de Aleluya o usa Bearer token |