Autenticación
La API pública usa JWT con esquema de access token + refresh token.
1. Obtenga sus tokens
Solicite a soporte (o genere desde el panel) el par de tokens de su empresa:
- access token — JWT de corta duración (1 hora). Va en el header
Authorizationde cada request. - refresh token — JWT de larga duración (30 días). Sirve para obtener un nuevo access token cuando el actual expira. Guárdelo de forma segura.
2. Incluir el access token
Incluya el access token en el header Authorization: Bearer <access token> en todas las solicitudes.
Ejemplo.
curl -v -X GET
--url 'https://api.public.lumarketo.cl/order/all?startDate=2026-06-01&endDate=2026-06-30'
--header 'Authorization: Bearer <access_token>'Si el access token expiró o es inválido, la API responde 401.
3. Renovar el access token
Cuando el access token expira (1h), obtenga uno nuevo con su refresh token:
curl -v -X POST
--url 'https://api.public.lumarketo.cl/token/refresh'
--header 'Content-Type: application/json'
--data '{ "refreshToken": "<refresh_token>" }'Respuesta:
{
"success": true,
"data": {
"token": "<nuevo access token>",
"refreshToken": "<nuevo refresh token>",
"expiresIn": "1h"
}
}El refresh token se rota en cada uso: el refresh anterior deja de servir, guarde siempre el nuevo. Si el refresh es inválido, expiró o fue revocado → 401.
Rate limit
La API aplica límites de frecuencia por empresa (identificada por su token), en dos capas:
Límite por endpoint → 429. Cada endpoint acepta ~1 request por segundo. La excepción es GET /order/all (pensado para sincronización): 1 request cada 2 minutos. Si lo supera, la API responde 429 (Too Many Requests); reintente luego del intervalo.
Tope anti-abuso → 403. Un límite superior protege la API del uso excesivo: hasta 1000 requests / 5 min por token en general, y 100 / 5 min para GET /order/all. Superarlo bloquea temporalmente el token con 403 (Forbidden).
En condiciones normales, respetando los intervalos, solo podría toparse (si acaso) con el 429 y nunca con el 403.