Autenticación

Cómo autenticar las llamadas a las APIs públicas de Clau.io.

Las APIs se autentican mediante headers HTTP. No se usan tokens OAuth ni sesiones para estos endpoints públicos.

Headers requeridos

HeaderValorObligatorio
apikeyPOS-yv#bt8UGkHiD9hR$Uo^0m6Ark69261MTL7kEO@M226A0
APPID1
Content-Typeapplication/json
  • apikey — identifica y autoriza al integrador. Se valida contra los parámetros del tenant. Si es inválido o falta, la respuesta es codigoRespuesta: 9501 ("ApiKey Invalido"). En algunos endpoints el código es 100.
  • APPID — selecciona el tenant. Para esta integración el valor es 1. También puede enviarse en el body ("APPID": 1) o como query param; si no se envía, el sistema asume 1 por defecto.

Ejemplo

curl -X POST 'https://apidev2.clau.io/pos/v3/consultar_usuario' \
  -H 'apikey: POS-yv#bt8UGkHiD9hR$Uo^0m6Ark69261MTL7kEO@M226A0' \
  -H 'APPID: 1' \
  -H 'Content-Type: application/json' \
  -d '{ "cliente": { "email": "[email protected]" } }'

Excepciones

  • POST /ecommerce_api/v1/verificar_orden_pagada — no valida apikey; solo requiere APPID.
  • POST /ext/registro/registro_desde_clau_pos — no usa apikey; se autentica con el secreto de Dashboard (DASHAPI) + allowlist de IP. Es un endpoint de uso interno.
🔒

El apikey es una credencial. Trátala como secreto: no la publiques en repositorios ni clientes públicos, y rótala si se filtra.