Autenticación

La API de Wayla distingue dos tipos de rutas:

Rutas públicas

No requieren credenciales. Son las que necesita la página de registro antes de que exista un usuario:

• GET /api/v1/public/registration-status
• POST /api/v1/public/signup

Ver Endpoints públicos.

Rutas autenticadas

El resto de la API opera dentro de tu tenant y requiere una sesión.

Al hacer POST /api/v1/public/signup (o al iniciar sesión), Wayla:

1. Devuelve un token de sesión (un JWT) en el cuerpo de la respuesta (sessionToken) junto con su fecha de expiración (sessionExpiresAt).
2. Establece ese mismo token como cookie HttpOnly, de modo que el navegador autentica automáticamente las siguientes peticiones.

Aislamiento por tenant

La sesión está ligada a tu tenant. Todas las peticiones autenticadas operan solo sobre los datos de tu agencia; el aislamiento se aplica a nivel de base de datos (RLS). No es posible leer ni escribir datos de otro tenant con tu sesión.

Precaución

Trata el sessionToken como un secreto: quien lo tenga puede actuar como tú hasta que expire. No lo registres en logs ni lo compartas.