diff --git a/api_candidatos/api/index.php b/api_candidatos/api/index.php
index ce9cdb1..17dc802 100644
--- a/api_candidatos/api/index.php
+++ b/api_candidatos/api/index.php
@@ -1,5 +1,4 @@
 <?php
-var_dump($_SERVER['REQUEST_URI']);
 
 require_once __DIR__ . '/../src/Utils/CorsHandler.php';
 
@@ -19,18 +18,21 @@ $method = $_SERVER['REQUEST_METHOD'];
 $basePath = '/api_candidatos';
 $normalizedPath = str_replace($basePath, '', $path);
 
+// Enrutamiento
 switch (true) {
     case preg_match('#^/oauth/token#', $normalizedPath):
-        echo json_encode(["mensaje" => "Entró en oauth/token"]);
-        // require_once __DIR__ . '/../src/Oauth/Routes/AuthRoutes.php';
+        require_once __DIR__ . '/../src/Oauth/Routes/AuthRoutes.php';
+        // /../src/candidatos/index.php
         break;
         
     case preg_match('#^/candidatos#', $normalizedPath):
-        echo json_encode(["mensaje" => "Entró en candidatos"]);
-        // require_once __DIR__ . '/../src/Oauth/Middleware/AuthMiddleware.php';
-        // if (\OAuth\Middleware\AuthMiddleware::verifyToken()) {
-        //     require_once __DIR__ . '/../src/candidatos/index.php';
-        // }
+        // Verificar token de OAuth 2.0 antes de acceder a rutas protegidas
+        require_once __DIR__ . '/../src/Oauth/Middleware/AuthMiddleware.php';
+        
+        // Solo continuamos si el token es válido
+        if (\OAuth\Middleware\AuthMiddleware::verifyToken()) {
+            require_once __DIR__ . '/../src/candidatos/index.php';
+        }
         break;
 
     default:
@@ -38,5 +40,4 @@ switch (true) {
         echo json_encode(["error" => "Ruta no encontrada"]);
         break;
 }
-
 ?>
\ No newline at end of file