🚧
Importante
Este endpoint soporta dos métodos de autenticación: Cookies (por defecto) y Bearer Token. Esta documentación se enfoca en cómo obtener un Bearer Token. Para más información sobre ambos métodos, consulta la guía de autenticación.

🔍 ¿Qué hace este endpoint?

Este endpoint permite iniciar sesión en la API de Aleluya y obtener un token de acceso que puedes usar para autenticar todas tus peticiones. Cuando solicitas un Bearer Token específicamente:

Verifica tus credenciales: Válida que tu email y api_token sean correctos.
Genera un Bearer Token: Crea un api_access_token válido por 8 horas.
Devuelve información del usuario: Incluye tus datos de usuario y el token en la respuesta JSON.

📘
Nota
A diferencia del método de Cookies (que establece cookies automáticamente), con Bearer Token recibes el token directamente en el body de la respuesta y debes incluirlo manualmente en cada petición usando el header Authorization: Bearer <token>.

🎯 ¿Cuándo usar este endpoint?

Cuando necesitas autenticarte en la API para hacer peticiones a otros endpoints protegidos.
Cuando estás construyendo un servicio backend que consume la API.

📌 Consideraciones importantes

Requisitos previos:

Debes tener un api_token válido: Este token se obtiene cuando creas tu cuenta (POST /v1/registries) o desde la interfaz web de Aleluya. Si no tienes un api_token, consulta Inicio rápido con Aleluya y la guía de autenticación para obtenerlo.
Debes usar tu api_token en Basic Auth: No puedes usar tu contraseña. Si usas tu contraseña, la API no te devolverá el Token.
Debes enviar auth_type=bearer: Este parámetro como query parameter en la URL indica que quieres un Token en lugar de cookies.

Duración del token:

El api_access_token es válido por 8 horas. Después de ese tiempo, expira y necesitas iniciar sesión nuevamente para obtener uno nuevo.

Seguridad:

Guarda el api_access_token de forma segura. Si alguien lo obtiene, puede acceder a tu cuenta.
No compartas tu api_token ni tu api_access_token con nadie.

🛡️ Validaciones

Cuando alguna de estas validaciones no se cumple, el endpoint responde 401 No autorizado con el detalle del error:

❌ Credenciales inválidas

Se devuelve cuando el email o el api_token proporcionados son incorrectos, el usuario no existe, o el api_token ha sido regenerado.

Ejemplo de respuesta:

{
  "error": [
    {
      "message": "Credenciales inválidas.",
      "code": "0001",
      "object": "user",
      "index": 0
    }
  ]
}

❌ Usuario inactivo

Se devuelve cuando el usuario está inactivo.

Ejemplo de respuesta:

{
  "error": [
    {
      "message": "El usuario está inactivo. Contacta al administrador de la cuenta para activar este usuario.",
      "code": "0002",
      "object": "user",
      "index": 0
    }
  ]
}

❌ Cuenta bloqueada

Se devuelve cuando la cuenta ha sido bloqueada temporalmente debido a múltiples intentos fallidos de inicio de sesión.

Ejemplo de respuesta:

{
  "error": [
    {
      "message": "Su cuenta ha sido bloqueada temporalmente debido a múltiples intentos fallidos de inicio de sesión. Si su cuenta existe en Aleluya, en pocos minutos recibirá un correo electrónico con las instrucciones para desbloquearla.",
      "code": "0003",
      "object": "user",
      "index": 0
    }
  ]
}