Autenticación

Es el método que usa el dashboard. Obtienes un par accessToken + refreshToken con el endpoint POST /auth/login. El access token vive 15 minutos; renuévalo con POST /auth/refresh.

# Login
curl -X POST https://api.mosend.dev/auth/login \
  -H 'Content-Type: application/json' \
  -d '{
    "email": "info@empresa.com",
    "password": "...",
    "twoFactorCode": "123456"  // si tiene 2FA activado
  }'

# Respuesta:
# { "data": { "user": {...}, "tokens": { "accessToken": "...", "refreshToken": "...", "expiresIn": 900 } } }

Para todas las rutas posteriores, envía el header:

Authorization: Bearer <accessToken>

Para integraciones desde tu backend usa una API Key con scopes específicos. Se crea desde el dashboard (Configuración → Integraciones → API Keys) o vía API POST /organizations/{orgId}/api-keys. La clave se muestra una sola vez en la respuesta.

# La API Key se envía en el mismo header que JWT — el backend distingue por prefijo
Authorization: Bearer mosk_live_<api-key-secret>

# Las API Keys se hashean con bcrypt en BD; lo que persistimos no permite reconstruir
# el secreto original. Si la pierdes, debes regenerarla.

Scopes disponibles

• conversations:read · conversations:write
• messages:send · messages:read
• contacts:read · contacts:write
• templates:read · templates:write
• phone-numbers:read · phone-numbers:write
• waba:read · waba:write
• organizations:read · organizations:write
• webhooks:read · webhooks:write
• billing:read · billing:write

Solicita el mínimo necesario. Las API keys no expiran a menos que les pongas expiresAt.