Sandbox API - Celcuotas
Introducción
¡Bienvenido al Sandbox de la API de Celcuotas! Este entorno está diseñado para que puedas probar y validar la integración de nuestra API en un escenario controlado antes de implementarla en un sistema real.
La API de Celcuotas permite que tus aplicaciones (como sistemas externos, aplicaciones web o móviles) se conecten con nuestro sistema para gestionar datos de clientes, usuarios y otras funcionalidades, utilizando solicitudes HTTP y respuestas en formato JSON.
En este sandbox, podrás:
- Autenticarte con credenciales de prueba para obtener un token de acceso.
- Simular operaciones con clientes, como consultar, actualizar o eliminar registros.
- Probar la gestión de usuarios, incluyendo creación, actualización y eliminación.
- Explorar cómo enviar solicitudes y recibir respuestas, replicando el comportamiento de la API real.
Para comenzar, dirígete a la sección de Autenticación en el menú de la izquierda, donde podrás iniciar sesión con credenciales de prueba y obtener un token para interactuar con la API.
Acceso Seguro a Endpoints y Protección de Datos
La API de Celcuotas está diseñada para ofrecer un acceso seguro a sus endpoints y proteger tus datos en cada interacción. A continuación, te explicamos los principales mecanismos de seguridad y cómo interactuar con la API:
-
Autenticación Requerida para Acceso: Para usar endpoints protegidos como
GET /api/Clientes,PUT /api/Clientes/{id}oPOST /api/refresh, primero debes autenticarte conPOST /api/login. Este endpoint te dará un token de acceso (Bearer Token) que debes incluir en las cabeceras de tus solicitudes comoAuthorization: Bearer <token>. -
Tiempo de Vida y Renovación de Tokens: Los tokens son válidos por 15 minutos. Si un token expira, recibirás un error
401 Unauthorized. Para obtener un nuevo token sin necesidad de iniciar sesión otra vez, usa el endpointPOST /api/refresh. Esto generará un nuevo token válido por otros 15 minutos, manteniendo tus sesiones seguras y limitando accesos no autorizados. - Datos Protegidos Durante la Transmisión: Todas las solicitudes y respuestas viajan a través de HTTPS con protocolos de cifrado como TLS 1.2 o superior. Esto asegura que la información que intercambias, como listas de clientes o datos de usuarios, esté protegida contra accesos no deseados o modificaciones.
-
Formato de Datos Claro y Estandarizado: La API utiliza JSON para todas las solicitudes y respuestas. Esto facilita la integración con otros sistemas. Por ejemplo, al usar
GET /api/Clientes, obtendrás una lista de clientes en formato JSON fácil de procesar. -
Control de Permisos para Usuarios: Además de la autenticación, la API verifica los permisos en cada solicitud. Solo los usuarios con el rol
userApiy un estado activo (estado = 1) pueden acceder a los endpoints. Si no tienes permisos, recibirás un error403 Forbidden. -
Límite de Solicitudes para Mayor Seguridad: Para proteger la API contra usos indebidos, hemos limitado la cantidad de solicitudes que puedes hacer. El endpoint
POST /api/loginpermite 10 solicitudes por minuto por IP. Los endpoints protegidos, comoGET /api/ClientesoPOST /api/refresh, permiten 60 solicitudes por minuto por usuario o IP. Si superas estos límites, recibirás un error429 Too Many Requests. -
Restricción de Orígenes (CORS): La API solo permite solicitudes desde dominios autorizados, como
https://dominiocliente.com. En producción, las solicitudes desde dominios no permitidos recibirán un error403 CORS: Origen no permitido. Durante las pruebas en desarrollo (APP_ENV=local), puedes usar herramientas como Postman sin restricciones de origen. -
Registro de Actividades: Todas las acciones importantes, como intentos de inicio de sesión (exitosos o fallidos), consultas, actualizaciones, eliminaciones y cierres de sesión, se guardan en un archivo de registro en
storage/logs/laravel.log. Cada registro incluye información como el ID del usuario, email, IP de origen y la hora exacta, lo que permite un seguimiento detallado para auditorías. -
Protecciones Adicionales en Respuestas: Las respuestas de la API incluyen cabeceras de seguridad para prevenir riesgos comunes:
X-Content-Type-Options: nosniff- Impide que los navegadores interpreten incorrectamente los tipos de contenido.X-Frame-Options: DENY- Evita que la API sea usada en iframes, protegiendo contra ataques de clickjacking.X-XSS-Protection: 1; mode=block- Activa defensas contra ataques XSS en navegadores compatibles.Strict-Transport-Security: max-age=31536000; includeSubDomains- Asegura que todas las conexiones usen HTTPS, protegiendo contra ataques de downgrade.
Este entorno de prueba (sandbox) usa datos ficticios, pero aplica todas las medidas de seguridad descritas para simular el sistema real. Para probar estas funcionalidades, inicia sesión en la sección Probar la API y explora los endpoints disponibles.
Autenticación
Para interactuar con la API de Celcuotas, debes autenticarte enviando una solicitud al endpoint POST /api/login. Este proceso genera un token de acceso que se requiere para todas las demás operaciones.
En este sandbox, utiliza las siguientes credenciales de prueba:
- Correo:
sandbox@celcuotas.com - Contraseña:
Celcuotas2025*
Pasos para autenticarte:
- Dirígete a la sección Probar la API en el menú de la izquierda.
- Ingresa las credenciales de prueba proporcionadas.
- Haz clic en "Iniciar Sesión".
- Si la autenticación es exitosa, recibirás un token de acceso que deberás incluir en las cabeceras de tus solicitudes como
Authorization: Bearer <token>.
Para ver un ejemplo detallado de la solicitud y respuesta, consulta la sección "Ejemplo práctico" en el menú de la izquierda.
Ejemplo de Autenticación
A continuación, se detalla una solicitud de autenticación al endpoint POST /api/login y la respuesta esperada en este entorno de prueba.
Solicitud:
POST /api/login
Content-Type: application/json
Accept: application/json
{
"email": "sandbox@celcuotas.com",
"password": "Celcuotas2025*"
}
Respuesta:
{
"user": {
"id": 999,
"name": "Usuario Sandbox",
"email": "sandbox@celcuotas.com",
"rol": "userApi"
},
"token": "14|FfYvjU9D3vWHCuIKygw3JtxMnAPK9PznkT8YqvTB411374f6",
"message": "Inicio de sesión exitoso"
}
El campo token devuelto debe incluirse en las cabeceras de las solicitudes subsiguientes como Authorization: Bearer 14|FfYvjU9D3vWHCuIKygw3JtxMnAPK9PznkT8YqvTB411374f6. Esto en caso de que se quiera probar en un cliente POSTMAN por ejemplo.
Para probar este proceso en nuestro sandbox, dirígete a la sección Probar la API y utiliza las credenciales de prueba para autenticarte y explorar otros endpoints.
Endpoints
Los endpoints de la API de Celcuotas permiten realizar operaciones específicas, como autenticación, consulta de clientes o gestión de usuarios.
En el menú de la izquierda, bajo "Endpoints", encontrarás una lista de los endpoints disponibles con sus detalles y ejemplos. Algunos ejemplos incluyen:
- POST /api/login: Autenticarse y obtener un token de acceso.
- GET /api/Clientes: Consultar la lista de clientes.
- GET /api/Users: Consultar la lista de usuarios.
Selecciona un endpoint en el menú para revisar su documentación y ejemplos de uso.
Endpoint: POST /api/login
Este endpoint permite autenticarse en la API de Celcuotas y obtener un token de acceso necesario para interactuar con otros endpoints.
Solicitud:
POST /api/login
Content-Type: application/json
Accept: application/json
{
"email": "sandbox@celcuotas.com",
"password": "Celcuotas2025*"
}
Respuesta Exitosa:
{
"user": {
"id": 999,
"name": "Usuario Sandbox",
"email": "sandbox@celcuotas.com",
"rol": "userApi"
},
"token": "14|FfYvjU9D3vWHCuIKygw3JtxMnAPK9PznkT8YqvTB411374f6",
"message": "Inicio de sesión exitoso"
}
Respuestas Posibles:
- 200 OK: Autenticación exitosa, devuelve el token de acceso.
- 401 Unauthorized: Credenciales incorrectas.
{ "message": "Credenciales incorrectas" } - 403 Forbidden: El usuario no tiene permisos (rol no es "userApi" o estado inactivo).
{ "message": "No tienes permisos para acceder a la API" }
El token recibido debe incluirse en las cabeceras de las solicitudes posteriores como Authorization: Bearer . Prueba este endpoint en la sección Probar la API.
Endpoint: GET /api/Clientes
Este endpoint permite consultar la lista de clientes, incluyendo detalles del creador. Requiere autenticación mediante un token de acceso.
Solicitud:
GET /api/Clientes
Authorization: Bearer 14|FfYvjU9D3vWHCuIKygw3JtxMnAPK9PznkT8YqvTB411374f6
Accept: application/json
Respuesta Exitosa:
{
"Clientes": [
{
"id": 1,
"cliente": "Carlos Andrés Pérez",
"documento": "12345678",
"email": "carlos.perez@correo.com",
"telefono": "3101234567",
"direccion": "Calle 123 #45-67, Bogotá",
"direccion_laboral": "Av. 68 #90-12, Bogotá",
"empresa": "TechCorp",
"fecha_nac": "1990-05-15",
"observacion": "Cliente preferencial",
"fotos": null,
"estado": 1,
"id_plataforma": 1,
"creador": {
"id": 999,
"name": "Usuario Sandbox",
"email": "sandbox@celcuotas.com"
},
"created_at": "2025-01-01T00:00:00.000000Z",
"updated_at": "2025-04-23T10:00:00.000000Z"
}
]
}
Respuestas Posibles:
- 200 OK: Lista de clientes devuelta exitosamente.
- 401 Unauthorized: Token inválido o ausente.
{ "message": "Unauthenticated." }
Los datos mostrados son ficticios, ya que este es un entorno de prueba. Prueba este endpoint en la sección Probar la API.
Endpoint: GET /api/Clientes/{id}
Este endpoint permite consultar los detalles de un cliente específico por su ID, incluyendo información del creador. Requiere autenticación mediante un token de acceso.
Parámetros de URL:
- id: Integer | Requerido | El ID del cliente.
Solicitud:
GET /api/Clientes/1
Authorization: Bearer 14|FfYvjU9D3vWHCuIKygw3JtxMnAPK9PznkT8YqvTB411374f6
Accept: application/json
Respuesta Exitosa:
{
"cliente": {
"id": 1,
"cliente": "Carlos Andrés Pérez",
"documento": "12345678",
"email": "carlos.perez@correo.com",
"telefono": "3101234567",
"direccion": "Calle 123 #45-67, Bogotá",
"direccion_laboral": "Av. 68 #90-12, Bogotá",
"empresa": "TechCorp",
"fecha_nac": "1990-05-15",
"observacion": "Cliente preferencial",
"fotos": null,
"estado": 1,
"id_plataforma": 1,
"creador": {
"id": 999,
"name": "Usuario Sandbox",
"email": "sandbox@celcuotas.com"
},
"created_at": "2025-01-01T00:00:00.000000Z",
"updated_at": "2025-04-23T10:00:00.000000Z"
}
}
Respuestas Posibles:
- 200 OK: Cliente encontrado.
- 404 Not Found: Cliente no encontrado.
{ "message": "Cliente no encontrado" } - 401 Unauthorized: Token inválido o ausente.
{ "message": "Unauthenticated." }
Prueba este endpoint en la sección Probar la API.
Endpoint: PUT /api/Clientes/{id}
Este endpoint permite actualizar los detalles de un cliente específico por su ID. Requiere autenticación mediante un token de acceso.
Parámetros de URL:
- id: Integer | Requerido | El ID del cliente.
Solicitud:
PUT /api/Clientes/1
Authorization: Bearer 14|FfYvjU9D3vWHCuIKygw3JtxMnAPK9PznkT8YqvTB411374f6
Content-Type: application/json
Accept: application/json
{
"cliente": "Carlos Andrés Pérez Updated",
"email": "carlos.updated@correo.com",
"telefono": "3109876543"
}
Respuesta Exitosa:
{
"message": "Cliente actualizado correctamente",
"cliente": {
"id": 1,
"cliente": "Carlos Andrés Pérez Updated",
"documento": "12345678",
"email": "carlos.updated@correo.com",
"telefono": "3109876543",
"direccion": "Calle 123 #45-67, Bogotá",
"direccion_laboral": "Av. 68 #90-12, Bogotá",
"empresa": "TechCorp",
"fecha_nac": "1990-05-15",
"observacion": "Cliente preferencial",
"fotos": null,
"estado": 1,
"id_plataforma": 1
}
}
Respuestas Posibles:
- 200 OK: Cliente actualizado exitosamente.
- 404 Not Found: Cliente no encontrado.
{ "message": "Cliente no encontrado" } - 422 Unprocessable Entity: Error de validación (ej. documento duplicado).
{ "message": "The given data was invalid.", "errors": { "documento": ["The documento has already been taken."] } } - 401 Unauthorized: Token inválido o ausente.
{ "message": "Unauthenticated." }
Prueba este endpoint en la sección Probar la API.
Endpoint: DELETE /api/Clientes/{id}
Este endpoint permite eliminar un cliente específico por su ID. Requiere autenticación mediante un token de acceso.
Parámetros de URL:
- id: Integer | Requerido | El ID del cliente.
Solicitud:
DELETE /api/Clientes/1
Authorization: Bearer 14|FfYvjU9D3vWHCuIKygw3JtxMnAPK9PznkT8YqvTB411374f6
Accept: application/json
Respuesta Exitosa:
{
"message": "Cliente eliminado exitosamente"
}
Respuestas Posibles:
- 200 OK: Cliente eliminado exitosamente.
- 404 Not Found: Cliente no encontrado.
{ "message": "Cliente no encontrado" } - 401 Unauthorized: Token inválido o ausente.
{ "message": "Unauthenticated." }
Prueba este endpoint en la sección Probar la API.
Endpoint: GET /api/Users
Este endpoint te permite ver una lista de usuarios del sistema. Necesitas estar autenticado.
Ejemplo de solicitud:
GET /api/Users
Authorization: Bearer 14|FfYvjU9D3vWHCuIKygw3JtxMnAPK9PznkT8YqvTB411374f6
Accept: application/json
Ejemplo de respuesta:
{
"users": [
{
"id": 1,
"name": "Juan Camilo Rojas",
"cedula": "123456789",
"email": "juan.rojas@correo.com",
"foto": null,
"estado": 1,
"ultimo_login": "2025-04-23 10:00:00",
"id_oficina": 1,
"rol": "userApi",
"created_at": "2025-01-01 00:00:00",
"updated_at": "2025-04-23 10:00:00"
},
{
"id": 2,
"name": "Ana María López",
"cedula": "987654321",
"email": "ana.lopez@correo.com",
"foto": null,
"estado": 1,
"ultimo_login": "2025-04-23 09:00:00",
"id_oficina": 2,
"rol": "userApi",
"created_at": "2025-01-01 00:00:00",
"updated_at": "2025-04-23 09:00:00"
}
]
}
Respuestas posibles:
- 200 OK: Lista de usuarios devuelta exitosamente.
- 401 Unauthorized: Token inválido o ausente.
{ "message": "Unauthenticated." }
Esta respuesta te muestra una lista de usuarios ficticios. Puedes probar este endpoint en la sección Probar la API.
Endpoint: GET /api/Users/{id}
Este endpoint te permite consultar un usuario específico por ID. Necesitas estar autenticado.
Parámetros de URL:
- id: Integer | Requerido | El ID del usuario.
Ejemplo de solicitud:
GET /api/Users/1
Authorization: Bearer 14|FfYvjU9D3vWHCuIKygw3JtxMnAPK9PznkT8YqvTB411374f6
Accept: application/json
Ejemplo de respuesta:
{
"user": {
"id": 1,
"name": "Juan Camilo Rojas",
"cedula": "123456789",
"email": "juan.rojas@correo.com",
"foto": null,
"estado": 1,
"ultimo_login": "2025-04-23 10:00:00",
"id_oficina": 1,
"rol": "userApi",
"created_at": "2025-01-01 00:00:00",
"updated_at": "2025-04-23 10:00:00"
}
}
Respuestas posibles:
- 200 OK: Usuario encontrado.
- 404 Not Found: Usuario no encontrado.
{ "message": "Usuario no encontrado" } - 401 Unauthorized: Token inválido o ausente.
{ "message": "Unauthenticated." }
Puedes probar este endpoint en la sección Probar la API.
Endpoint: PUT /api/Users/{id}
Este endpoint te permite actualizar los detalles de un usuario específico por ID. Necesitas estar autenticado.
Parámetros de URL:
- id: Integer | Requerido | El ID del usuario.
Ejemplo de solicitud:
PUT /api/Users/1
Authorization: Bearer 14|FfYvjU9D3vWHCuIKygw3JtxMnAPK9PznkT8YqvTB411374f6
Content-Type: application/json
Accept: application/json
{
"name": "Juan Camilo Rojas Updated",
"email": "juan.updated@correo.com",
"password": "NewPassword2025*"
}
Ejemplo de respuesta:
{
"message": "Usuario actualizado correctamente",
"user": {
"id": 1,
"name": "Juan Camilo Rojas Updated",
"email": "juan.updated@correo.com",
"cedula": "123456789",
"rol": "userApi"
}
}
Respuestas posibles:
- 200 OK: Usuario actualizado exitosamente.
- 404 Not Found: Usuario no encontrado.
{ "message": "Usuario no encontrado" } - 422 Unprocessable Entity: Error de validación (ej. email duplicado).
{ "message": "The given data was invalid.", "errors": { "email": ["The email has already been taken."] } } - 401 Unauthorized: Token inválido o ausente.
{ "message": "Unauthenticated." }
Puedes probar este endpoint en la sección Probar la API.
Endpoint: DELETE /api/users/{id}
Este endpoint te permite eliminar un usuario específico por ID. Necesitas estar autenticado.
Parámetros de URL:
- id: Integer | Requerido | El ID del usuario.
Ejemplo de solicitud:
DELETE /api/users/1
Authorization: Bearer 14|FfYvjU9D3vWHCuIKygw3JtxMnAPK9PznkT8YqvTB411374f6
Accept: application/json
Ejemplo de respuesta:
{
"message": "Usuario eliminado exitosamente"
}
Respuestas posibles:
- 200 OK: Usuario eliminado exitosamente.
- 404 Not Found: Usuario no encontrado.
{ "message": "Usuario no encontrado" } - 401 Unauthorized: Token inválido o ausente.
{ "message": "Unauthenticated." }
Puedes probar este endpoint en la sección Probar la API.
Endpoint: POST /api/logout
Este endpoint permite cerrar la sesión y revocar el token de acceso actual. Requiere autenticación mediante el token que se desea invalidar.
Solicitud:
POST /api/logout
Authorization: Bearer 14|FfYvjU9D3vWHCuIKygw3JtxMnAPK9PznkT8YqvTB411374f6
Accept: application/json
Respuesta Exitosa:
{
"message": "Sesión cerrada exitosamente"
}
Respuestas Posibles:
- 200 OK: Sesión cerrada exitosamente.
- 401 Unauthorized: Token inválido o ausente.
{ "message": "Unauthenticated." }
Tras cerrar sesión, el token quedará invalidado y será necesario autenticarse nuevamente para obtener un nuevo token. Prueba este endpoint en la sección Probar la API.
Probar la API
Iniciar Sesión
Seguridad con Sanctum
La API de Celcuotas utiliza Laravel Sanctum para garantizar un acceso seguro y autenticado a sus recursos. Aquí te explicamos cómo protegemos tus interacciones con la API y qué medidas de seguridad están implementadas:
-
Autenticación con Tokens Seguros: Para usar los endpoints protegidos, como
GET /api/Clientes,PUT /api/Clientes/{id}oPOST /api/refresh, primero debes autenticarte conPOST /api/login. Sanctum genera un token único (Bearer Token) que debes incluir en las cabeceras de tus solicitudes comoAuthorization: Bearer. Esto asegura que solo usuarios autenticados puedan acceder a la API. -
Tiempo de Vida y Renovación de Tokens: Los tokens tienen una validez de 15 minutos. Si el token expira, recibirás un error
401 Unauthorized. Para renovar el token sin iniciar sesión de nuevo, usaPOST /api/refresh, que genera un nuevo token válido por otros 15 minutos. Esto ayuda a mantener tus sesiones seguras y limita accesos no autorizados. -
Revisión de Permisos: Sanctum no solo verifica el token, sino también los permisos del usuario. Solo los usuarios con el rol
userApiy un estado activo (estado = 1) pueden acceder a los endpoints. Si no cumples con estos requisitos, recibirás un error403 Forbidden. - Comunicación Protegida: Todas las solicitudes y respuestas viajan a través de HTTPS con cifrado TLS 1.2 o superior. Esto protege datos sensibles, como credenciales o información de clientes, contra accesos no deseados o modificaciones durante la transmisión.
-
Cierre Seguro de Sesión: Puedes cerrar tu sesión con
POST /api/logout. Este endpoint invalida el token actual, asegurando que no pueda ser usado de nuevo. Esto es útil para proteger tu cuenta si crees que el token ha sido comprometido. -
Límite de Solicitudes: Para evitar usos indebidos, hemos limitado las solicitudes que puedes hacer. El endpoint
POST /api/loginpermite 10 solicitudes por minuto por IP. Los endpoints protegidos, comoGET /api/ClientesoPOST /api/refresh, permiten 60 solicitudes por minuto por usuario o IP. Si superas estos límites, recibirás un error429 Too Many Requests. -
Control de Orígenes (CORS): Solo se permiten solicitudes desde dominios autorizados, como
https://dominiocliente.com. En producción, las solicitudes desde otros dominios recibirán un error403 CORS: Origen no permitido. En este entorno de prueba, puedes usar herramientas como Postman sin restricciones si estás en modo desarrollo (APP_ENV=local). -
Registro de Actividades: Todas las acciones importantes, como inicios de sesión (exitosos o fallidos), consultas, actualizaciones, eliminaciones y cierres de sesión, se registran en
storage/logs/laravel.log. Cada entrada incluye detalles como el ID del usuario, email, IP de origen y la hora exacta, lo que facilita auditorías de seguridad. -
Protecciones en Respuestas: Las respuestas de la API incluyen cabeceras de seguridad para mayor protección:
X-Content-Type-Options: nosniff- Evita interpretaciones erróneas del contenido por parte de navegadores.X-Frame-Options: DENY- Impide que la API sea usada en iframes, previniendo ataques de clickjacking.X-XSS-Protection: 1; mode=block- Activa defensas contra ataques XSS en navegadores compatibles.Strict-Transport-Security: max-age=31536000; includeSubDomains- Asegura que todas las conexiones usen HTTPS.
- Protección Adicional en Producción: En este entorno de prueba, los datos son ficticios. En producción, se aplican medidas adicionales como el cifrado de datos sensibles en la base de datos (con algoritmos como AES-256), auditorías de seguridad regulares y estrictas políticas de control de acceso para minimizar riesgos.
Consideraciones de Seguridad: Sanctum ofrece una autenticación segura y robusta para APIs.
En este sandbox, puedes probar los mecanismos de seguridad de Sanctum sin riesgos, ya que los datos son ficticios. Para más detalles sobre cada endpoint, revisa las secciones correspondientes en el menú de la izquierda.
Notas Importantes
- Todas las operaciones realizadas en este sandbox se ejecutan en un entorno aislado y no tienen impacto en el sistema de producción de Celcuotas.
- Los datos de clientes y usuarios presentados son ficticios y se utilizan únicamente para propósitos de prueba.
- Las credenciales proporcionadas (como
sandbox@celcuotas.com) son exclusivas para este entorno de prueba y no son válidas en el sistema de producción. - Para soporte o consultas, contacta al equipo de Celcuotas a través de los canales oficiales.