> ## Documentation Index
> Fetch the complete documentation index at: https://docs.1to1ai.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Confirmar upload: validar y obtener signed download

> Paso 3 del patrón 2-step. Hace HEAD contra Storage para verificar que el binario llegó y su tamaño matchea el declarado, lee los primeros bytes para validar los magic bytes contra el mime_type, y si todo pasa marca el archivo como `confirmed`. Devuelve un `download_url` para adjuntar el archivo en mensajes.

Si la validación falla, borra el objeto y la fila — el cliente debe iniciar un nuevo `/request-upload`.

**curl:**
```bash
curl -X POST "https://app.1to1.ai/api/v1/public/$SLUG/files/confirm" \
  -H "Authorization: Bearer $TOKEN" \
  -H "Content-Type: application/json" \
  -d "{\"file_uuid\":\"$FILE_UUID\"}"
```

**JavaScript (fetch):**
```javascript
const res = await fetch(`${baseUrl}/files/confirm`, {
  method: 'POST',
  headers: { Authorization: `Bearer ${token}`, 'Content-Type': 'application/json' },
  body: JSON.stringify({ file_uuid: prep.file_uuid }),
})
const { data } = await res.json() // { file_uuid, mime_type, size_bytes, download_url, expires_at }
```



## OpenAPI

````yaml /openapi.json post /{slug}/files/confirm
openapi: 3.1.0
info:
  title: 1TO1 AI Public API
  version: 0.2.0
  description: >-
    API pública de 1TO1 AI para integraciones externas (n8n, CRMs, scripts).
    Auth via Bearer token. Rate limit 60 req/min por API key. Contrato REST
    puro: el body de éxito es el payload directo (status HTTP como señal),
    errores retornan `{code, message}` con ambos campos garantizados. Ver schema
    `PublicError`.
servers:
  - url: https://app.1to1.ai/api/v1/public
    description: Producción
security:
  - bearerAuth: []
paths:
  /{slug}/files/confirm:
    post:
      tags:
        - Files
      summary: 'Confirmar upload: validar y obtener signed download'
      description: >-
        Paso 3 del patrón 2-step. Hace HEAD contra Storage para verificar que el
        binario llegó y su tamaño matchea el declarado, lee los primeros bytes
        para validar los magic bytes contra el mime_type, y si todo pasa marca
        el archivo como `confirmed`. Devuelve un `download_url` para adjuntar el
        archivo en mensajes.


        Si la validación falla, borra el objeto y la fila — el cliente debe
        iniciar un nuevo `/request-upload`.


        **curl:**

        ```bash

        curl -X POST "https://app.1to1.ai/api/v1/public/$SLUG/files/confirm" \
          -H "Authorization: Bearer $TOKEN" \
          -H "Content-Type: application/json" \
          -d "{\"file_uuid\":\"$FILE_UUID\"}"
        ```


        **JavaScript (fetch):**

        ```javascript

        const res = await fetch(`${baseUrl}/files/confirm`, {
          method: 'POST',
          headers: { Authorization: `Bearer ${token}`, 'Content-Type': 'application/json' },
          body: JSON.stringify({ file_uuid: prep.file_uuid }),
        })

        const { data } = await res.json() // { file_uuid, mime_type, size_bytes,
        download_url, expires_at }

        ```
      parameters:
        - $ref: '#/components/parameters/SlugPathParam'
      requestBody:
        required: true
        content:
          application/json:
            schema:
              $ref: '#/components/schemas/ConfirmUploadBody'
      responses:
        '200':
          description: Archivo confirmado. download_url válido para descargar el asset.
          headers:
            X-Request-Id:
              schema:
                type: string
                format: uuid
                description: >-
                  ID único para correlacionar con logs server-side. Si el
                  cliente envía uno válido (UUID), se preserva; si no, se genera
                  uno nuevo.
              required: true
              description: >-
                ID único para correlacionar con logs server-side. Si el cliente
                envía uno válido (UUID), se preserva; si no, se genera uno
                nuevo.
          content:
            application/json:
              schema:
                $ref: '#/components/schemas/ConfirmUploadResponse'
        '400':
          description: >-
            Body inválido (INVALID_REQUEST), tamaño real no matchea el declarado
            (SIZE_MISMATCH) o los magic bytes no corresponden al mime declarado
            (MIME_MISMATCH). En mismatches el archivo se borra del bucket y la
            fila de DB — se debe iniciar un nuevo /request-upload.
          headers:
            X-Request-Id:
              schema:
                type: string
                format: uuid
                description: >-
                  ID único para correlacionar con logs server-side. Si el
                  cliente envía uno válido (UUID), se preserva; si no, se genera
                  uno nuevo.
              required: true
              description: >-
                ID único para correlacionar con logs server-side. Si el cliente
                envía uno válido (UUID), se preserva; si no, se genera uno
                nuevo.
          content:
            application/json:
              schema:
                $ref: '#/components/schemas/PublicError'
        '401':
          description: Token ausente, mal formado o no válido (INVALID_API_TOKEN)
          headers:
            X-Request-Id:
              schema:
                type: string
                format: uuid
                description: >-
                  ID único para correlacionar con logs server-side. Si el
                  cliente envía uno válido (UUID), se preserva; si no, se genera
                  uno nuevo.
              required: true
              description: >-
                ID único para correlacionar con logs server-side. Si el cliente
                envía uno válido (UUID), se preserva; si no, se genera uno
                nuevo.
          content:
            application/json:
              schema:
                $ref: '#/components/schemas/PublicError'
        '403':
          description: >-
            El slug del path no coincide con el business del token
            (TOKEN_BUSINESS_MISMATCH)
          headers:
            X-Request-Id:
              schema:
                type: string
                format: uuid
                description: >-
                  ID único para correlacionar con logs server-side. Si el
                  cliente envía uno válido (UUID), se preserva; si no, se genera
                  uno nuevo.
              required: true
              description: >-
                ID único para correlacionar con logs server-side. Si el cliente
                envía uno válido (UUID), se preserva; si no, se genera uno
                nuevo.
          content:
            application/json:
              schema:
                $ref: '#/components/schemas/PublicError'
        '404':
          description: >-
            file_uuid no existe, no pertenece al business del token, o ya fue
            confirmado/rechazado (FILE_NOT_FOUND); o el binario nunca llegó al
            Storage — el cliente no completó el PUT (FILE_NOT_UPLOADED).
          headers:
            X-Request-Id:
              schema:
                type: string
                format: uuid
                description: >-
                  ID único para correlacionar con logs server-side. Si el
                  cliente envía uno válido (UUID), se preserva; si no, se genera
                  uno nuevo.
              required: true
              description: >-
                ID único para correlacionar con logs server-side. Si el cliente
                envía uno válido (UUID), se preserva; si no, se genera uno
                nuevo.
          content:
            application/json:
              schema:
                $ref: '#/components/schemas/PublicError'
        '429':
          description: >-
            Rate limit excedido (RATE_LIMIT_EXCEEDED). Headers `Retry-After`,
            `X-RateLimit-Limit`, `X-RateLimit-Remaining`, `X-RateLimit-Reset`
            indican cuándo reintentar.
          headers:
            X-Request-Id:
              schema:
                type: string
                format: uuid
                description: >-
                  ID único para correlacionar con logs server-side. Si el
                  cliente envía uno válido (UUID), se preserva; si no, se genera
                  uno nuevo.
              required: true
              description: >-
                ID único para correlacionar con logs server-side. Si el cliente
                envía uno válido (UUID), se preserva; si no, se genera uno
                nuevo.
          content:
            application/json:
              schema:
                $ref: '#/components/schemas/PublicError'
        '500':
          description: >-
            Fallo interno: DB error al marcar confirmed (UPDATE_FAILED) o fallo
            al firmar el download URL (UPLOAD_FAILED).
          headers:
            X-Request-Id:
              schema:
                type: string
                format: uuid
                description: >-
                  ID único para correlacionar con logs server-side. Si el
                  cliente envía uno válido (UUID), se preserva; si no, se genera
                  uno nuevo.
              required: true
              description: >-
                ID único para correlacionar con logs server-side. Si el cliente
                envía uno válido (UUID), se preserva; si no, se genera uno
                nuevo.
          content:
            application/json:
              schema:
                $ref: '#/components/schemas/PublicError'
components:
  parameters:
    SlugPathParam:
      schema:
        $ref: '#/components/schemas/SlugPathParam'
      required: true
      description: >-
        Slug del business, case-insensitive. Debe coincidir con el business del
        token.
      name: slug
      in: path
  schemas:
    ConfirmUploadBody:
      type: object
      properties:
        file_uuid:
          type: string
          format: uuid
          example: 550e8400-e29b-41d4-a716-446655440000
          description: El file_uuid devuelto por /files/request-upload.
      required:
        - file_uuid
    ConfirmUploadResponse:
      type: object
      properties:
        file_uuid:
          type: string
          format: uuid
          example: 550e8400-e29b-41d4-a716-446655440000
        mime_type:
          type: string
          enum:
            - image/jpeg
            - image/png
            - video/mp4
            - video/3gpp
            - audio/ogg
            - application/pdf
            - application/msword
            - >-
              application/vnd.openxmlformats-officedocument.wordprocessingml.document
            - application/vnd.ms-excel
            - application/vnd.openxmlformats-officedocument.spreadsheetml.sheet
            - application/vnd.ms-powerpoint
            - >-
              application/vnd.openxmlformats-officedocument.presentationml.presentation
            - text/plain
          example: application/pdf
          description: >-
            MIME type re-validado contra los magic bytes del binario real. Puede
            diferir del declarado en /request-upload si el cliente mintió (en
            ese caso /confirm retorna MIME_MISMATCH en vez de 200).
        size_bytes:
          type: integer
          example: 524288
          description: >-
            Tamaño real medido con HEAD contra Storage. Coincide con el
            declarado (strict equality).
        download_url:
          type: string
          format: uri
          description: >-
            Signed URL con TTL de 30 minutos para descarga del asset. El
            servicio lo entrega a Meta al enviar mensajes con adjunto.
        expires_at:
          type: string
          format: date-time
          description: Instante (UTC) en que download_url deja de ser válido.
      required:
        - file_uuid
        - mime_type
        - size_bytes
        - download_url
        - expires_at
    PublicError:
      type: object
      properties:
        code:
          type: string
          example: INVALID_API_TOKEN
        message:
          type: string
          example: >-
            The provided API token is invalid or has been revoked. Generate a
            new one in Settings → API Token.
      required:
        - code
        - message
      description: >-
        Public API error body. The client should match against `code` (stable
        canonical identifier) and NOT against `message` (human text, may be
        refined between API versions without notice). The HTTP status code is
        the error-type signal (4xx client, 5xx server).
    SlugPathParam:
      type: string
      example: acme
      description: >-
        Slug del business, case-insensitive. Debe coincidir con el business del
        token.
  securitySchemes:
    bearerAuth:
      type: http
      scheme: bearer
      bearerFormat: sk_1to1_<hex>
      description: >-
        API token emitido desde Settings → API Token del dashboard 1TO1 AI.
        Enviar en header Authorization: Bearer sk_1to1_...

````