YoFacturo
Documentación de la API
API

Documentación para desarrolladores

Autenticación

La API de YoFacturo se autentica con un API token. Es una funcionalidad del plan Premium (las cuentas en período de prueba también tienen acceso). Cada petición a la API debe incluir un token válido para identificar tu cuenta y los permisos otorgados.

Crear un token

Los tokens se generan desde el panel web, en Configuración → Integraciones → API Tokens → «Crear token». Al crearlo elegís:

Crear un token
  • Un nombre que identifique para qué se usa el token.
  • Una expiración: 30, 60 o 90 días, 1 año o sin vencimiento.
  • Los scopes (permisos) que tendrá el token.

El token se muestra una sola vez al crearse. Guardalo en un lugar seguro en ese momento: si se pierde, no se puede volver a ver y hay que regenerarlo. Cada cuenta puede tener hasta 10 tokens activos.

Usar el token

El token se envía en un header HTTP en cada petición. Hay dos formas equivalentes: podés usar el header X-API-Key o el header Authorization: Bearer. El token nunca debe ir en la URL ni en query params.

La URL base de la API es https://api.yo-facturo.com y todos los endpoints cuelgan del prefijo /api/v1/.

Usando el header X-API-Key:

curl https://api.yo-facturo.com/api/v1/products/list/ \
  -H "X-API-Key: TU_TOKEN"

Usando el header Authorization: Bearer:

curl https://api.yo-facturo.com/api/v1/products/list/ \
  -H "Authorization: Bearer TU_TOKEN"

Expiración y revocación

Los tokens pueden tener una fecha de vencimiento, definida al momento de crearlos. Desde el panel, además, podés en cualquier momento:

  • Revocar un token: deja de funcionar de inmediato.
  • Regenerar un token: revoca el anterior y emite uno nuevo con los mismos permisos.

Buenas prácticas de seguridad

  • Un token por integración: si se compromete uno, lo revocás sin afectar a las demás.
  • Mínimo privilegio: otorgá solo los scopes que la integración realmente usa.
  • Guardá el token como un secreto (variables de entorno, gestor de secretos) — nunca en el código fuente ni en el frontend.
  • Usá expiración en tokens de integraciones temporales.
  • Rotá el token periódicamente y ante cualquier sospecha de filtración.

El detalle de los permisos disponibles está en la sección Scopes. Los códigos de respuesta de una autenticación fallida están en Errores.