Autenticación | SalonBookIt Developers

Resumen

Público

API Key

Identifica tu negocio en cada petición. Requerida para todos los endpoints.

Se obtiene desde el Dashboard
Se envía en el header X-API-Key
Prefijo hh_pub_ (pública) o hh_sec_ (privada)

Autenticado

JWT Token

Autentica a un cliente específico. Requerido para endpoints privados.

Se obtiene vía /api/v1/auth/login/
Se envía en el header Authorization
Expira en 24 horas

API Keys

Tu API Key identifica tu negocio y debe incluirse en todas las peticiones a la API.

Obtener tu API Key

Inicia sesión en tu Dashboard
Ve a Configuración → Integraciones
Haz clic en Generar Nueva API Key
Asigna un nombre descriptivo (ej: "Widget Web", "App Móvil")
Copia y guarda la API Key de forma segura

Usar la API Key

Incluye tu API Key en el header X-API-Key de cada petición:

cURL

curl -X GET "https://app.salonbookit.com/api/v1/negocio/" \
  -H "X-API-Key: hh_pub_live_abc123def456..."

JavaScript

const response = await fetch('https://app.salonbookit.com/api/v1/servicios/', {
    headers: {
        'X-API-Key': 'hh_pub_live_abc123def456...'
    }
});
const data = await response.json();

Python

import requests

response = requests.get(
    'https://app.salonbookit.com/api/v1/servicios/',
    headers={'X-API-Key': 'hh_pub_live_abc123def456...'}
)
data = response.json()

PHP

$ch = curl_init('https://app.salonbookit.com/api/v1/servicios/');
curl_setopt($ch, CURLOPT_HTTPHEADER, [
    'X-API-Key: hh_pub_live_abc123def456...'
]);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$response = curl_exec($ch);
$data = json_decode($response, true);

Tipos de API Key

Las API Keys tienen dos dimensiones: tipo (pública/privada) y entorno (producción/pruebas).

Por tipo

Prefijo	Tipo	Uso
`hh_pub_`	Pública	Para widgets y frontend. Permisos limitados a lectura y crear reservas.
`hh_sec_`	Privada	Para backend. No exponer en código cliente.

Por entorno

Sufijo	Entorno	Uso
`_live_`	Producción	Datos reales, transacciones reales
`_test_`	Pruebas	Datos de prueba, sin cargos reales

Ejemplos de formatos completos:

hh_pub_live_... - Pública de producción (para widgets en producción)
hh_pub_test_... - Pública de pruebas (para desarrollo de widgets)
hh_sec_live_... - Privada de producción (para tu backend)
hh_sec_test_... - Privada de pruebas (para desarrollo backend)

Seguridad de API Keys

Nunca incluyas tu API Key en código del lado del cliente que sea visible públicamente. Para el widget, usamos una API Key con permisos limitados que solo permite operaciones de lectura y creación de reservas.

Autenticación JWT

Los endpoints que requieren autenticación de cliente utilizan tokens JWT. Estos endpoints incluyen:

Ver reservas del cliente
Ver/modificar perfil del cliente
Consultar puntos de fidelidad
Ver historial de pedidos

Obtener un token JWT

POST /api/v1/auth/login/

Request

cURL

curl -X POST "https://app.salonbookit.com/api/v1/auth/login/" \
  -H "X-API-Key: hh_pub_live_abc123..." \
  -H "Content-Type: application/json" \
  -d '{
    "email": "cliente@ejemplo.com",
    "password": "contraseña123"
  }'

Response (200 OK) - Cliente

JSON

{
  "success": true,
  "data": {
    "token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...",
    "tipo": "cliente",
    "cliente": {
      "id": 123,
      "nombre": "Juan",
      "apellido": "García",
      "email": "cliente@ejemplo.com",
      "telefono": "+34612345678",
      "puntos": 150,
      "nivel": "gold"
    }
  }
}

Response (200 OK) - Staff

Si las credenciales corresponden a un miembro del staff:

JSON

{
  "success": true,
  "data": {
    "token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...",
    "tipo": "staff",
    "staff": {
      "id": 1,
      "nombre": "María",
      "apellido": "López",
      "email": "maria@salon.com",
      "telefono": "+34612345678",
      "rol": "admin",
      "permisos": {
        "puede_ver_reservas": true,
        "puede_crear_reservas": true,
        "puede_ver_clientes": true
      }
    }
  }
}

Usar el token JWT

Incluye el token en el header Authorization con el prefijo Bearer:

cURL

curl -X GET "https://app.salonbookit.com/api/v1/cliente/reservas/" \
  -H "X-API-Key: hh_pub_live_abc123..." \
  -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."

Renovar el token

Los tokens expiran en 24 horas. Usa el endpoint de refresh para obtener uno nuevo:

POST /api/v1/auth/refresh/

cURL

curl -X POST "https://app.salonbookit.com/api/v1/auth/refresh/" \
  -H "X-API-Key: hh_pub_live_abc123..." \
  -H "Authorization: Bearer TOKEN_ACTUAL"

Rate Limiting

La API tiene límites de peticiones para garantizar un servicio estable:

Límite	Ventana	Descripción
120 requests	1 minuto	Límite general por API Key
20 intentos	15 minutos	Login (por IP)
10 intentos	1 hora	Registro (por IP)

Headers de Rate Limit

Cada respuesta incluye headers informativos:

Headers

X-RateLimit-Limit: 120
X-RateLimit-Remaining: 115
X-RateLimit-Reset: 1704067200

Header	Descripción
`X-RateLimit-Limit`	Número máximo de requests permitidos
`X-RateLimit-Remaining`	Requests restantes en la ventana actual
`X-RateLimit-Reset`	Timestamp Unix cuando se reinicia el contador

Error 429: Too Many Requests

Si excedes el límite, recibirás un error 429:

JSON

{
  "success": false,
  "error": "Has excedido el límite de requests. Intenta de nuevo en 45 segundos.",
  "code": "RATE_LIMIT_EXCEEDED"
}

Errores de autenticación

Código	HTTP Status	Descripción
`MISSING_API_KEY`	401	No se incluyó el header X-API-Key
`INVALID_API_KEY`	401	API Key no válida o no encontrada
`API_KEY_DISABLED`	403	La API Key ha sido desactivada
`API_KEY_EXPIRED`	403	La API Key ha expirado
`INVALID_TOKEN`	401	JWT Token inválido o malformado
`TOKEN_EXPIRED`	401	JWT Token expirado
`INVALID_CREDENTIALS`	401	Email o contraseña incorrectos