Refuerzo de autorizacion en endpoints REST sensibles

Endpoints afectados

• GET /api/v1/usuario/{idUsuario}/empresas
• GET /api/v1/puntoemision/{id}
• POST /api/v1/empresa/actualizarLogo
• POST /api/v1/empresa/importarCertificado
• POST /api/v1/empresa/verificar-email-saliente
• POST /api/v1/empresa/verificar-email-entrante
• GET /api/v1/cfeemitido/getConfiguracionExportacionCfe
• GET /api/v1/cferecibido/representacionImpresa
• POST /api/v1/facturacionrecurrente/crear
• POST /api/v1/facturacionrecurrente/editar

Migracion recomendada

Verificar que cada llamada use un JWT con permisos y alcance de empresa/usuario correctos.

Que cambia

Se aplicaron controles adicionales de autorizacion en endpoints de consulta y configuracion para asegurar que cada usuario solo pueda operar sobre sus propios recursos o sobre recursos habilitados por su rol.

Impacto para integradores

Integraciones que antes enviaban identificadores de usuario o empresa fuera del alcance del token ahora pueden recibir respuestas de permisos/forbidden.

Migracion recomendada

1. Revisar que el JWT usado corresponda al usuario/empresa objetivo de cada request.
2. Evitar enviar userId de terceros en configuraciones de exportacion.
3. Validar en cliente que idEmpresa y id referencien recursos propios antes de invocar la API.