Autenticación
Todas las llamadas a la API Transaccional —excepto el endpoint público de
validación de payload y la página de
esquemas y ejemplos— requieren un
token de acceso. El token se obtiene a partir de tus
credenciales y se envía en cada
petición con el header Authorization: <token>.
Flujo de autenticación
-
Solicita un token con
POST /b2b/authEnvía
clientIdyclientSecreten el cuerpo. El endpoint responde con untokeny unrefreshToken. Esta petición no envía el headerAuthorization. -
Usa el token en cada llamada autenticada
Adjunta el header
Authorization: <token>en todas las llamadas a/business-api/b2b/transactions/paymentsy demás endpoints privados. -
Refresca el token antes de que expire con
POST /b2b/auth/refreshCuando el
tokenesté por vencer, intercambia elrefreshTokenpor un par nuevo sin reenviar elclientSecret.
Obtener un token — POST /b2b/auth
En producción, usa https://api.global66.com como URL base.
Parámetros del cuerpo
| Campo | Tipo | Requerido | Descripción |
|---|---|---|---|
clientId | string | sí | Identificador público de la credencial. |
clientSecret | string | sí | Secreto asociado a la credencial. |
Ejemplo de petición
Ejemplo de respuesta
Refrescar un token — POST /b2b/auth/refresh
Cuando el token esté por vencer, usa el refreshToken para obtener un par
nuevo sin enviar nuevamente el clientSecret.
Ejemplo de respuesta
Buenas prácticas de seguridad
- Guarda
clientIdyclientSecreten un vault seguro o secret manager. - Trata el
tokeny elrefreshTokencomo secretos. - Centraliza la autenticación y la renovación en un cliente HTTP compartido.
- Si recibes
HTTP 401, intenta refrescar el token una sola vez antes de propagar el error.
Para entender qué hacer cuando la API devuelve errores de red, rate limit o IDs duplicados, consulta la guía de errores y reintentos.
Soporte
Si necesitas ayuda para investigar un estado inesperado o una petición fallida, escríbenos a soporte.tech@global66.com indicando el clientId y un ejemplo de la petición fallida (timestamp, request id, status HTTP).